Forensic resistance 1, або Last-икActivityView. Дані про активність користувача в Windows 10 і як їх видалити

Доброго часу прочитання, шановні читачі.

Спонуканням до дослідженням, опублікованим у цій статті, стало набирає все більшу і більшу популярність слово «форензика» і бажання розібратися в питанні — які дані про цифровий життєдіяльності пересічного користувача збирає ОС Windows 10, де їх зберігає і як зробити кнопку «Видалити все» (Я б взяв частинами, але мені потрібно відразу (с) Остап Бендер) якщо вони небажані, з точки зору конфіденційності.

А виникнення даного спонукання сприяло те, що, як виявилося, інтерес до питання «як видалити історію», видавану епічної LastActivityView, до цих пір розбурхує уми і діє на нерви користувачам

При цьому, найчастіше, на форумах питання залишається без відповіді. Масла у вогонь поливає те, що ванільний CCleaner у випадку з LastActivityView не допомагає.

Ті, кому в основному цікава практична сторона питання, щодо кнопки «Видалити все», можуть відразу перейти до кінця статті — там пропоную варіанти рішення.

А в статті — хочу поділитися результатами цих досліджень з тими, кого це зацікавить. Мова піде про тих даних, які зберігаються ОС Windows 10 локально і до яких можна просто і швидко отримати доступ з використанням «безплатних і загальнодоступних засобів форензики», в тому числі і утиліт NirSoft. Хоча мова піде не про них (чому — дивитися нижче).

Відразу хочу обмовитися — я не є фахівцем в області комп’ютерної безпеки або криміналістичного аналізу, не маю кримінального досвіду або мотивів, мамою клянусь, вік волі не бачити.

Цільова операційна система

У даній статті розглядається ОС Windows 10. Інші випуски Windows, природно, так само грішні збором і зберіганням даних, але у них ключі реєстру, папки, служби і т. п. відрізняються.

Зміст

Причому тут форензика
Чому мова не про NirSoft
Причому тут форензика
Чому мова не про NirSoft
Які дані зберігаються Windows
Навіщо Windows збирає дані і чим загрожує їх видалення
Де ці дані зберігаються?
Так як, врешті-решт, їх затерти?
Джерела

Причому тут форензика

Вона-то якраз майже не при чому. Справа стосується використання її методів і засобів всує
доморощеними форензиками-кулцхакерами, троянських справ майстрами та іншими любителями обчислювати по IP або легкої наживи, та й просто цікавими, для голосування віртуальних носов в чужі і вкрай приватні справи, при цьому їм навіть «продвинутими» користувачами не треба бути (для завантаження та запуску LastActivityView — Ніром Софером бути не треба).

Чому мова не про NirSoft

У «вступі» я не випадково дав посилання на LastActivityView на Софт Порталі. Там і справді тільки короткий опис функціоналу даної утиліти, натомість російською. А на офф. сторінці своїх утиліт Нір Софер пише многабукфф та ще й по-англицки шпрехает. Але, натомість, майже для кожної його утиліти там є опис, звідки вона бере дані. Для LastActivityView в самому низу, під заголовком «How to delete the information displayed by LastActivityView».

Треба визнати, що я і сам такий же Пильне Око — колись, як і він, тільки через тиждень зауважив, що «у сараю однієї стіни немає». Але, правда, цей тиждень була дещо раніше, ніж LastActivityView стали лякати користувачів або, що ймовірніше, коли вони дісталися до Софт Порталу і самі навчилися її лякатися.

Хоча утиліти NirSoft, поряд з SysInternals, ІМХО зразок професіоналізму для програміста і вкрай зручні для адміністрування. Та й для проведення розслідувань їх і справді часто рекомендують. ПруфПример: Хакер №229. Форензика і він далеко не єдиний.

Хоча, думаю, подібне напрям їх використання саме собою приходило в голову тим, хто так чи інакше мав з ними справу”.
А тим, хто не мав, але зацікавивсяЩоб не завантажувати їх у роздріб можна скачати оптом з бонусом у вигляді лаунчер NirSoft Launcher (при скачуванні зверніть увагу, що zip-файл запаролен, пароль є на цій сторінці).

Які дані зберігаються Windows

Абсолютно справедливий коментар від Hanabishi — «Зате тема реального логгирования не порушена взагалі ніяк… не згадується нічого, що відноситься до телеметрії і Win10 зокрема» — прошу вибачення, толком не описав, що мова в статті йде про приватних даних, що зберігаються локально, на ПК користувачів. Питання стеження, як і питання анонімності в мережі, все-таки інша, окрема тема.

Зберігається все, що пов’язано з доступом до файлів і папок, використанням програмами (в т. ч. і protable), підключенням пристроїв зберігання інформації (в тому числі і шифрованих файлових контейнерів). Так, не у всіх випадках, і тільки в дуже обмежених — з подробицями. Але краще виходити з того, що все і завжди. Які папки-файли відкривали програми, які використовували.

А причому тут «доступ» і «місцеположення»? Сильно перебільшений приклад: номер банківської картки, її pin-код так і залишаться у файлі «D:МояСуперСекретнаяПапкаCardPin.txt» нікуди Windows не запишеться, а ось факт доступу і «говорять» імена папки і файлу — зафіксується Windows, причому розмазане по всій системі тонким шаром.

Стало бути, коли робили (підключали, запускали, відкривали) щось таке, що не хотілося б, щоб стало надбанням широкої громадськості — не зле б потім і сліди замести.

Навіщо Windows збирає дані і чим загрожує їх видалення

Більшість даних Windows збирає для зручності користувача — наприклад, для прискорення запуску додатків, для відображення папок в провіднику з тими параметрами, які задав користувач, відображення списку раніше відкритих файлів і т. д. і т. п. Затерти дані, не втративши при цьому зручностей — не вийде.
Так само, частина даних збирається для оцінки продуктивності і стану комп’ютера і ОС (у тому числі про збої і помилки) IT-спеціалістами та спеціалізованим ПЗ для рішення виникаючих у користувача проблем. Без цих даних — вирішити проблеми, якщо вони виникнуть, буде складно.
Загалом все це — ще один привід задуматися над питанням, коли дійсно треба стирати дані, а не прати їх огулом і при кожному включенні-виключенні компа.

Читайте також  Як відновити сторінку в Інстаграмі - після видалення або якщо забув пароль

Абсолютно справедливий коментар від Hanabishi — «навіщо чистити логи служб, якщо можна просто відключити ці служби?» Не згадав про це. Можна. Але це знову ж таки — лишться удобняшек, які наше все.

Отже, після масштабного затирання можливі такі фейли:

  • якщо передбачаються якісь «ремонтно-відновлювальні роботи, то зітреться важлива для цього інформація. Але це стосується, в основному, стирання журналів Windows;
  • якщо відображення якихось папок налаштовували під себе, то це буде нещадно выпиленно, доведеться налаштовувати за новою;
  • якщо задавали яким-небудь програма режим сумісності або запуск від імені адміністратора, задавати доведеться заново;
  • зважаючи затирання даних, необхідних для прискорення доступу до даних, їх відображення та запуску програм, наступний після затирання, доступвідображеннязапуск, трохи сповільниться;
  • зважаючи затирання даних про відкриті раніше файлах, шукати їх доведеться заново, скористатися пунктом меню «раніше відкриті файли» в програмах не вийде;

 

Де ці дані зберігаються?

Після заявлених у вступі «вишукувань» та звірки свежеизысканного з навколишньою дійсністю у мене склалося враження, що крім IBM-286 вже встигли ще щось винайти основні «заповідні місця» не змінилися ще з часів XP, хіба що місце розташування та формат деяких змінилися. І дещо додалося, але, начебто, трохи. Тому тому впевнений, що Америк не відкрию, тим більше фахівців, але можливо когось зацікавить ця добірка, в зв’язку з підйомом інтересу до питань анонімності і безпеки.

Відразу хочу попередити — це далеко-далеко не всі (в сенсі опису не всі, стирається в запропонованому рішенні набагато більше) і не розгорнуто і «з миру по нитки». Для тих, кому ця тема дійсно цікава, в кінці цієї глави — відомі мені цікаві матеріали для самостійного вивчення і ряд конкретних «заповідних місць», наведених в «рішення» для їх зачистики.

Основні джерела витоків інформації про активність користувача

Щодо реєстру — у деяких випадках згадується SID користувача.

Реєстр Windows

  • ShellBags — Bags, BagMRU. Там в тому числі зберігається й інформація про доступ до папок, включаючи дату-час, для збереження і відновлення їх з налаштуваннями користувача (розмір вікна провідника, вибір відображення «списокескізи» тощо) і там же MUICache — перелік запущених програм для списку кнопки «Пуск».
  • OpenSavePidlMRU. Історія діалогів «відкрити, зберегти».
  • MUICache. Історія запущених програм для списку кнопки «Пуск».
  • Uninstall. Зберігається інформація для видалення інстальованих програм. Спасибі КЕП — не за що, завжди радий допомогти. Видаляти її, ясна річ, не можна (дякую ще раз). Містить дату-час установки програми.
  • MountedDevices. Історія змонтованих (в тому числі і криптованных) дисків.

Служба Background Activity Moderator (BAM). Чергова нанотехнологія від Microsoft — запиленная в Windows починаючи 10, якщо не помиляюся, з версії 1709 для якихось своїх внутрішніх потреб.

Ця служба веде логи активності, щоправда, зберігаються ці логи до перезавантаження комп’ютера (що підтвердилося перевіркою), але все ж не комільфо.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings<SID>

Особливо розчулили результати такого експерименту: запускаємо улюблений багатьма TrueCrypt (protable), монтуємо файл-контейнер, запускаємо з нього LastActivityView.

Бачимо в реєстрі запис:

Тобто, теоретично, після запуску таких портабельних утиліт, треба б або перезавантажуватися або затирати.

Історія «монтування» дисків MountPoints2 (ж містять записи типу «TrueCryptVolumeK»)

KEY_LOCAL_MACHINESYSTEMMountedDevices
HKEY_USERS<SID користувача>SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

3. Параметр AppCompatCache ключа реєстру AppCompatCache, теж вкрай цікавий (зберігає дані в бінарному вигляді).

а так же татко:

c:WINDOWSappcompatPrograms

Ключ реєстру HeapLeakDetection. Чомусь ніде на форензик-форумах мені потім не зустрілося згадка (можливо, просто погано шукав) ключа реєстру:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications

Службова інформація Windows для налагодження витоків пам’яті в програмах.

Файлова система

  • Папка Prefetch каталогу Windows. Ну, тут краще Вікі навряд чи скажеш. Там же є ще і бази даних іншого оптимізатора — SuperFetch (файли типу AgAppLaunch.db). Формат їх, як я зрозумів, народу поки не ясний, мені теж не особливо, але при перегляді в hex-редакторі шляху до додатків проглядаються.
  • Файлик C:Windowsinfsetupapi.dev.log. Інформація про підключення пристроїв, мережних інтерфейсів і не тільки.
  • Папки провідника зі списком переходів (aka Jump list). Дані зберігаються по дорозі типу: с:UsersUserAppDataRoamingMicrosoftWindowsRecent
  • Папка Panther в каталозі Windows. Тут зберігається інформація для відкату, якщо ви не оновлювали версію Windows

Журнали Windows: ну, тут без коментарів.

Є ще кілька місць в реєстрі і на диску, але вони набагато менш інформативні і не дуже цікаві (див. у «рішеннях», нижче). І є ще море інших місць, типу файлів “*.log” різних служб і навіть не завжди Microsoft. Правда, обнадіює те, що CCleaner на стероїдах (див. нижче) затирається майже все.

Інші джерела витоків інформації відомі мені, але не підпадають під тематику статті по тим або іншим причинам. І тут теж треба відзначити, що майже все затирається CCleaner-ом або є інші вільно поширювані утиліти.

Перелік таких1. Все, що пов’язано з мережею і Інтернетом (це не входить в дану статтю про «локально» збережених історії). Але з цим справляються CCleaner і Privazer. Тут же треба зазначити, що у CCleaner-а на стероїдах, на підставі рішень в кінці статті, здібності до цього підвищуються в рази.

2. Все, що пов’язано з історією підключенням USB-девайсів. Для її перегляду і видалення можна використовувати, наприклад, Usboblivion.

3. Все, що пов’язано з файловою системою. «Безповоротне видалення файлів і очищення вільного місця (той же «безповоротне видалення», але вже раніше видалених файлів, що залишилися в нетрях файлової системи). Загалом питання, пов’язані з тим, що видалені файли можна відновити. Заодно треба згадати і про кеші ескізів зображень Windows, які мають властивість зберігати ескізи навіть вже видалених зображень. CCleaner і Privazer це теж вміють все зачищати.

4. Все, що пов’язано з точками відновлення («тіньовими копіями»), в яких зберігається файли, в тому числі і системний реєстр з незатертыми даними. Підключитися, переглянути і відновити файлипапки (не роблячи відкати системи) можна і за допомогою утиліт NirSoft (так само з їх допомогою можна і прочитати інформацію з файлів реєстру звідти), але, зручніше, на мій погляд — ShadowExplorer. Видалення точки відновлення можна за допомогою CCleaner. А перед створенням точок — можна запускати «зачистку», щоб випиляти непотрібну інформацію до її збереження.

5. Ось ця гілка реєстру.

HKEY_USERS<SID користувача>Software

Сюди пишуть свої дані програми, в тому числі portable. І вони тут і залишаються. І якщо хочеться приховати використання якоїсь програми, то непогано б перевірити цю гілку і, якщо що, видалити дані.

Читайте також  42 оператора розширеного пошуку Google (повний список)

6. Все, що пов’язано з установкою неліцензійного ПЗ і що витягається на світ Божий поліцейської програмою Defacto. Є і «вільний аналог» Lpro (хоча, є в мене не дуже обґрунтоване припущення, що движок Defacto на її основі або на її ідеї був зроблений). Але вона, на відміну від Defacto, визначає лише, що ЗА платне, а не «порушення авторських і суміжних прав».

Вихід, ІМХО — не використовувати подібне. Крім всім відомого Софт Порталу по цій темі можу ще запропонувати (якщо що, це не реклама, відношення до даних сайтів я не маю):
— GiveAwayOfTheDay. Щодня роздають одну ліцензійну програму (можна підписатися на розсилання).
— Безкоштовні ліцензії на сайті COMSS. Безкоштовне (за різними акціями) ліцензійне ПЗ і підписки. Як приклад — там є зараз акція безкоштовного VPN на рік. І зручний редактор реєстру Reg Organizer, який я використовував для вишукувань. І навіть Acronis True Image і криптованное хмарне сховище на 2Тб і ще багато чого. «Скільки?» — «Халява, сер» (с). (можна підписатися на розсилання; не бородатих анекдотів, в сенсі, а цього сайту).

Матеріали для самостійного вивчення

Список

  • Наукова стаття: Деякі особливості судово-експертного дослідження реєстру Windows (дуже рекомендую, в т. ч. і користувачам)
  • Статті на ForensicFocus (анг.).
  • SANS Digital Forensics (анг.)
  • Література:
  • «Внутрішнє пристрій Windows», Руссинович Марк, 7-е видання.
  • «Криміналістичний аналіз файлових систем», Кэрриэ Брайан.
  • «Криміналістичне дослідження Windows», Карви Харлэн
  • «Форензика — комп’ютерна криміналістика», Федотов М.Н
  • Для програмістів:
  • Парсинг ряду форматів forensic-даних (і там навіть здається є парсер MFT) на C# можна спробувати подивитися тут: EricZimmerman github.
  • Почитати про прасинге ShellBag тут

 

Так як, врешті-решт, їх затерти?

Пропоную на розгляд і критику наступний варіант: Прокачати CCleaner (що, думаю, і зручніше користувачам і правовірніші, бо виключає винахід чергового велосипеда) і
використовувати bat-файл для затирання журналів windows.

Плюс, нижче — власне рішення, у вигляді bat-файлу, але його все-таки використовувати навіть по-моєму, не доцільно (тим більше він затирає тільки найголовніше і в основному для windows 10). Хіба що -пропоную почитати коментарі до коду.

Прокачуємо CCleaner + додаємо йому свої правила + bat-файл для стирання журналів Windows

Для початку завантажуємо і запускаємо CCEnhancer виконуємо «оновлення» (по інструкції на сторінці). Тільки неодмінно вибираємо і натискаємо на даний пункт меню (закривши CCleaner, якщо він запустився):

Інакше у файлі winapp2.ini буде 100500 правил, вкрай неактуальних для широких мас, такі, як правила очищення для емулятора «Заїки Спектрума» (може тут хтось навіть згадає такий комп), зате сильно гальмують CCleaner.

Потім переходимо в ту папку, де встановлений CCleaner. Знаходимо і відкриваємо файл winapp2.ini (наприклад, в nodepad++).

Дописуємо в кінці файлу наступне:

[All Prefetch]
Section=Windows10
Default=False
FileKey1=%WinDir%Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE

[AppCompatFlags Layer]
Section=Windows10
Default=False
RegKey1=HKCU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers

[Explorer RunMRU]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

[OpenSaveFilesView]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey2=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey3=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy
RegKey4=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU

[UserAssist]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist

[DiagnosedApplications]
Section=Windows10
Default=False
RegKey1=HKLMSOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications

[BAM]
Section=Windows10
Default=True
RegKey1=HKLMSYSTEMCurrentControlSetServicesbamUserSettings.DEFAULT
RegKey2=HKLMSYSTEMControlSet001ServicesbamUserSettings.DEFAULT

[MountedDevices]
Section=Windows10
Default=True
RegKey1=HKLMSYSTEMMountedDevices
RegKey2=HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

[Panther]
Section=Windows10
Default=True
FileKey1=%WinDir%Panther|*.*|RECURSE

[Minidump]
Section=Windows10
Default=True
FileKey1=%WinDir%Minidump|*.*

Зберігаємо файл.

Створюємо bat-файл для очищення всіх журналів Windows:1. Створюємо на комп’ютері текстовий файл, наприклад, з допомогою nodepad++, в кодуванні OEM 866 (DOS) (інакше, замість російських букв, можуть бути кракозябры). Копіюємо в нього текст і зберігаємо. Перейменовуємо файл, замінюємо розширення .txt .bat

2. Запускати його треба від імені адміністратора (інакше видасть помилку «Необхідно запустити цей скрипт від імені адміністратора»).


REM Last-ік ActivityView. Очищення журналів Windows

@ECHO OFF

REM Сподіваюся, зберегти файл у кодуванні DOS-866 не забули
CHCP 866

COLOR A

CLS

REM ----------------------------------------------------------------------------------------
REM Перевірка на наявність прав адміністратора 
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
 IF (%adminTest%)==(Відмовлено) GOTO errNoAdmin
 IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------

ECHO Нажимте 1 для очищення журналів або ENTER для виходу
ECHO.
SET /p doset="Виберіть дію:" 
ECHO.
REM ----------------------------------------------------------------------------------------

REM ----------------------------------------------------------------------------------------
REM Перевірка вибору користувача. Якщо не 1 і не 2 і не 3 - вихід
IF %doset% NEQ 1 EXIT

REM ------------------------------------------------------------------------------------------
REM Очищення всіх журналів Windows. Слід проводити спочатку, до запуску CCleaner, щоб в логах не залишилося викликів wevtutil

ECHO.
ECHO ОЧИЩЕННЯ ВСІХ ЖУРНАЛІВ Windows
FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
ECHO.
ECHO Виконано
ECHO.

REM ------------------------------------------------------------------------------------------

PAUSE
EXIT

:do_clear
ECHO Очищення журналу %1
wevtutil.exe cl %1
GOTO :eof

:errNoAdmin
COLOR 4
ECHO Необхідно запустити цей скрипт від імені адміністратора
ECHO.
PAUSE

На всяк випадок, перед першим запуском, створюємо точку відновлення

Попередньо ще раз перечитуємо пункт цієї статті про те, чим загрожує видалення даних.

Запускаємо bat-файл. Чекаємо, поки закінчить роботу.

Відкриваємо ССleaner, переходимо в ньому «Очищення».

Вибираємо наступні правилаНа вкладці «Windows»

На вкладці «Програми»

Якщо використовуєте FireFox і Thunderbird, пропоную використовувати наступні правила:

При цьому необхідно врахувати, що для FireFox — зітруться збережені паролі до сайтів (доведеться вводити заново, при вході на сайт). Але можна зняти галочку з правила «збережені паролі».

2 варіант — Використовувати bat-файл

ІнструкціяПам’ятаємо про те, що це альфа-версія і, теоретично, може щось таки зламати, тому що використовуємо на свій страх і ризик. Перший раз, перед запуском, зробивши точку відновлення системи.

1. Створюємо на комп’ютері текстовий файл, наприклад, з допомогою nodepad++, в кодуванні OEM 866 (DOS) (інакше, замість російських букв, можуть бути кракозябры). Копіюємо в нього текст і зберігаємо. Перейменовуємо файл, замінюємо розширення .txt .bat

2. Уважно знайомимося з коментарями до його коду (т. к. там описані негативні моменти, пов’язані з затиранням)

3. Запускаємо від імені адміністратора (інакше видасть помилку «Необхідно запустити цей скрипт від імені адміністратора»).

4. Якщо якихось ключів реєстру або папок немає, скрипт повинен це дія пропустити.

(це не помилки, це не знайдене та пропущено)

Текст bat-файлупробачте, підсвічування batch-файлів не знайшов.


REM Last-ік ActivityView. Версія 1 Alpha

@ECHO OFF

REM Сподіваюся, зберегти файл у кодуванні DOS-866 не забули
CHCP 866

REM Зелений на чорному - інтригуюче... знову ж таки, хакери і все таке
COLOR A

CLS


REM ----------------------------------------------------------------------------------------
REM Перевірка на наявність прав адміністратора 
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
 IF (%adminTest%)==(Відмовлено) GOTO errNoAdmin
 IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------


REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

REM При виборі пункту 1 нічого особливо поганого статися, для користувача, не має.
REM Але будуть видалені збережені дані про розміри вікон папок у провіднику і налаштування їх виду (списокескізи тощо)

REM При виборі п. п. 2-3
REM 1. При першій перезавантаження трохи сповільниться запуск Windows тобто перший, після неї, запуск деяких програм (у т. ч. в автозавантаженні)
REM із-за видалення файлів оптимізації запуску Prefetch і SuperFetch
REM 2. Буде видалена інформація про запуск програм в режимі сумісності або про запуск від імені адміністратора
REM але це - якщо користувач таке призначав для чогось і відновлюється призначенням цього заново
REM або знайдіть і приберіть зі скрипта видалення даних з ...AppCompatFlagsLayers
REM 3. Буде видалена накопичена до цього моменту інформація про продуктивності і помилки
REM але, якщо в поточний момент з компом все нормально і його не треба аналізувати і лагодити", то теж нічого страшного

REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

REM ----------------------------------------------------------------------------------------
REM Меню вибору користувача

ECHO.
ECHO Не обов'язково!
ECHO але бажано закрити всі програми і файл, якщо він відкритий у текстовому редакторі, а після завершення - перезавантажитися
ECHO.
ECHO.

REM Частина інформації залишиться, і буде відображатися в утилітах NirSoft
ECHO 1 - Очищення основних логів в реєстрі

REM Видалити все, що вдалося знайти. 
REM (майже вся інформація з утиліт NirSoft пропаде)
REM При цьому:
REM 1. Трохи сповільниться наступна завантаження ПК і перший, після неї, запуск деяких програм (з-за видалення Perfect і SuperFetch)
REM 2. Віддаляться відомості про раніше виникли помилки (Minidump)
REM 3. У меню "Пуск" очиститься список раніше запущених програм
REM 4. Буде очищений список тих програм, для яких користувач задав "запускати в режимі сумісності або від імені адміністратора". 
REM (треба буде задавати для них сумісність заново)
ECHO 2 - Очищення всіх логів в реєстрі, файлів Perfect і Minidump

REM См. п. 2 + зітруться раніше записані дані журналів Windows
ECHO 3 - Очищення всіх логів, файлів Perfect і журналів Windows

ECHO або натисніть ENTER для виходу
ECHO.
SET /p doset="Виберіть дію:" 
ECHO.
REM ----------------------------------------------------------------------------------------


REM ----------------------------------------------------------------------------------------
REM Перевірка вибору користувача. Якщо не 1 і не 2 і не 3 - вихід
IF %doset% NEQ 1 (
 IF %doset% NEQ 2 (
 IF %doset% NEQ 3 EXIT
)
)
REM ----------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Очищення всіх журналів Windows, якщо користувач вибрав в меню 3. Проводимо спочатку, щоб в логах не залишилося викликів wevtutil
REM утиліти NirSoft - LastActivityView
IF %doset% EQU 3 (
ECHO.
 ECHO ОЧИЩЕННЯ ВСІХ ЖУРНАЛІВ Windows
 FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
ECHO.
 ECHO Виконано
ECHO.
)
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM ShellBag. Історія запуску додатків і доступу до папок, пов'язана з "оболонкою"
REM утиліти NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ ShellBag - реєстр
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBags" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags" /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Explorer. Історія запуску додатків пов'язана з "Провідником"
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ Explorer - реєстр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM ComDlg32. Історія діалогів "відкритизберегти" і "останніх місць відвідувань"
REM утиліти NirSoft - LastActivityView
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ OpenSave і LastVisited - реєстр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy" /va /f
REM (утиліти NirSoft - OpenSaveFilesView)
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU" /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM якщо користувач вибрав в меню не 1 тобто 2 або 3
IF %doset% NEQ 1 ( 
 REM UserAssist. Очищення списку запущених програм в меню "Пуск"
 REM утиліти NirSoft - UserAssistView
 ECHO. 
 ECHO ОЧИЩЕННЯ ІСТОРІЇ UserAssist - реєстр
 REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist" /f
 REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist"
ECHO.
)


REM ------------------------------------------------------------------------------------------
REM AppCompatCache
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ AppCompatCache - реєстр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCompatCache" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession ManagerAppCompatCache" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM DiagnosedApplications. Діагностика витоків пам'яті в додатку Windows
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ DiagnosedApplications - реєстр
REG DELETE "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications" /f
REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Отримання SID - ідентифікатор безпеки поточного користувача 
FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Search. Історія пошуку 
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ Search - реєстр
 REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps" /f
 REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM BAM. 
REM По ідеї, при перезавантаженні затреться саме. 
REM Але можна зробити окремий bat і запускати, наприклад, після роботи з portable-додатками
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ служби Background Activity Moderator - реєстр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings%usersid%" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesbamUserSettings%usersid%" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM AppCompatFlags
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ AppCompatFlags - реєстр
REM утиліти NirSoft - ExecutedProgramsList
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantStore" /va /f

REM якщо користувач вибрав в меню не 1 тобто 2 або 3
IF %doset% NEQ 1 (
 REM Список програм, для яких заданий режим сумісності" або "запускати від імен адміністратора"
 REM утиліти NirSoft - AppCompatibilityView
 REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers" /va /f
)
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Історія "монтування" дисків в т. ч. і TrueCrypt
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ MountedDevices - реєстр
ECHO.
REG DELETE "HKEY_LOCAL_MACHINESYSTEMMountedDevices" /va /f
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /f
REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2"
ECHO.
REM ------------------------------------------------------------------------------------------


REM ------------------------------------------------------------------------------------------
REM Очищення списків швидкого переходу
ECHO.
REM утиліти NirSoft - JumpListsView, RecentFilesView
ECHO ОЧИЩЕННЯ ІСТОРІЇ Recent - файлова система
DEL /f /q %APPDATA%MicrosoftWindowsRecent*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentCustomDestinations*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentAutomaticDestinations*.*
ECHO Виконано
ECHO.
REM ------------------------------------------------------------------------------------------

REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ Panther - файлова система
DEL /f /q %systemroot%Panther*.*
ECHO Виконано
ECHO.
REM ------------------------------------------------------------------------------------------

REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИЩЕННЯ ІСТОРІЇ AppCompat - файлова система
DEL /f /q %systemroot%appcompatPrograms*.txt
DEL /f /q %systemroot%appcompatPrograms*.xml
DEL /f /q %systemroot%appcompatProgramsInstall*.txt
DEL /f /q %systemroot%appcompatProgramsInstall*.xml
ECHO Виконано
ECHO.
REM ----


REM ------------------------------------------------------------------------------------------
IF %doset% NEQ 1 (
ECHO.
 REM Prefetch. Видалення файлів, оптимізують запуск додатків. Windows наступного разу завантажиться повільніше
 REM утиліти NirSoft - LastActivityView, ExecutedProgramsList
 ECHO ОЧИЩЕННЯ ІСТОРІЇ Prefetch - файлова система
 DEL /f /q %systemroot%Prefetch*.pf
 DEL /f /q %systemroot%Prefetch*.ini
 DEL /f /q %systemroot%Prefetch*.7db
 DEL /f /q %systemroot%Prefetch*.ebd
 DEL /f /q %systemroot%Prefetch*.bin
 REM SuperFetch. Видалення баз оптимізації SuperFetch
 DEL /f /q %systemroot%Prefetch*.db
 REM Trace. Видалення файлів трасування
 DEL /f /q %systemroot%PrefetchReadyBoot*.fx
 ECHO Виконано
ECHO.

ECHO.
 ECHO ОЧИЩЕННЯ ІСТОРІЇ Minidump - файлова система
 REM Видалення звалищ помилок
 REM утиліти NirSoft - LastActivityView
 DEL /f /q %systemroot%Minidump*.*
 ECHO Виконано
)
ECHO.
REM ------------------------------------------------------------------------------------------


PAUSE
EXIT

:do_clear
ECHO Очищення журналу %1
wevtutil.exe cl %1
GOTO :eof

:errNoAdmin
COLOR 4
ECHO Необхідно запустити цей скрипт від імені адміністратора
ECHO.
PAUSE

Фінал
Після використання першого або другого варіанту можна запустити утиліти NirSoft, для того, щоб подивитися, чи досягли ми бажаного ефекту.

Читайте також  Як зламати wi-fi сусіда: 100% спосіб!

Профіт… Тепер, головне, погодувати собак і нічого не чіпати. А то вона знову почне писати оперу…

Можливі сценарії використання рішень bat і CCleaner

  1. Використовувати окремо. Тим більше, що затирати журнали має сенс вже зовсім в «приватних випадках»
  2. Зробити єдиний bat-файл, який спочатку затирає журнали, а замість усього іншого — викликає CCleaner, тобто, після стирання журналів, поставити виклик: «C:Program FilesCCleanerCCleaner64.exe» /AUTOS
  3. Поставити цей bat-файл в автозавантаження (що, ймовірно, заодно вирішить проблему із запуском CCleaner на Windows 10)
  4. Поставити bat-файл на момент завершення роботи Windows, що правильніше в сенсі «заметанія слідів». Через редактор групових політик gpedit.msc — «Конфігурація комп’ютера» — «Конфігурація Windows» — «Сценарії запуску/зупинки)» — пункт «Завершення роботи».

 

Джерела

 

  1. Утиліта Procmon зі складу SysinternalsSuite імені Марка Руссиновича, з якою нерідко все таємне стає явним… В тому числі і куди звертаються утиліти NirSoft. Його блог на тему використання утиліт (рос.).
  2. Статті блогу Комп’ютерна криміналістика (форензика) сайту CodeBy. Цикл статей Forensics Windows Registry (рос.).
  3. Стаття Очищення журналів Windows (анл.).
  4. Статті Windows registry and forensics: частина 1 і частина 2. (анг.)
  5. Стаття Створення власних правил CCleaner (анг.).

До речі, а чому Forensic resistance 1?

Це стане зрозуміло, якщо справа коли-небудь дійде до 2.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

Вам також сподобається...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *