Ко мне часто обращаются с просьбами «почистить комп, потому что тормозит». Порой попадаются весьма интересные экземпляры, когда компьютер оказывается забит троянами и скрытыми криптомайнерами просто под завязку, несмотря на кучу установленных антивирусов и прочих «оптимизаторов».
Вычислить происхождение всего этого безобразия бывает довольно просто — достаточно открыть историю браузера… и тут может произойти неловкий момент, если вдруг попросят озвучить причину. В общем, перед тем как сдавать ноутбук или компьютер в сервис, для начала бывает не лишним немного прибраться и начнём со скрытой папки Recent.
Что означает папка Recent на диске С:?
Лично мне никогда не нравилось, как навязчиво «винда» сохраняет историю открытия документов и запущенных программ. Всё это дело копится в скрытой папке Recent, которою не так то просто найти на просторах жёсткого диска. Подавляющее число пользователей и вовсе не подозревает о её существовании.
Конечно, активировав показ скрытых файлов и папок, можно найти её вручную, но есть способ проще. Жмём Windows + R и в открывшемся окошке набираем recent, после чего не забываем нажать Enter.
Откроется список всех файлов и папок, к которым текущий пользователь обращался в последнее время. Содержимое этой папки можно смело почистить (выделяем всё содержимое Ctrl + A и жмём Del).
Аналогичным образом можно почистить и папки:
%appdata%microsoftwindowsrecentautomaticdestinations %appdata%microsoftwindowsrecentCustomDestinations
где хранятся пути к файловым объектам и используемым приложениями Windows.
Отключаем слежение за действиями пользователя через групповые политики Windows
Чтобы «винда» впредь самостоятельно прибивала лишние файлы, следует внести изменения в локальные групповые политики. Снова жмём Windows + R и набираем строку gpedit.msc.
Открываем раздел «Конфигурация пользователя → Административные шаблоны → Меню «Пуск и панель задач» и активируем перечисленные ниже политики:
- Очистить журнал недавно открывавшихся документов при выходе;
- Очистка списка недавно использовавшихся программ для новых пользователей;
- Очистить уведомления на плитке при выходе;
- Удалить список программ, закрепленных в меню Пуск;
- Удалить список часто используемых программ в меню Пуск;
- Отключить слежение за действиями пользователя;
- Не хранить сведения о недавно открывавшихся документах;
- Удалить меню Недавние документы из меню Пуск;
- Не отображать и не отслеживать элементы переходов в списках удаленных расположений;
- Удалить список Недавно добавленные из меню Пуск.
Подписывайтесь на канал
Яндекс.Дзен
и узнавайте первыми о новых материалах, опубликованных на сайте.
Содержание
- 1 Способ 1: удаление содержимого AutomaticDestination и CustomDestination
- 2 Способ 2: очистка параметров конфиденциальности
Некоторые пользователи сообщают, что Быстрый доступ Функция Windows 10 неожиданно стала непригодной для использования в Windows 10. Хотя некоторые пользователи сообщают, что эта проблема возникла сразу после завершения установки Обновления создателей, другие пользователи не смогли найти очевидного триггера для этой проблемы.
Симптомами этой конкретной проблемы являются исчезновение элементов доступа из меню быстрого доступа Проводника. Более того, затронутые пользователи сообщают, что они также потеряли способность прикреплять что-либо к Быстрый доступ меню. Большинство пользователей сообщают, что если щелкнуть меню быстрого доступа, чтобы развернуть его, появится сообщение «параметр неверен» ошибка. Другие пользователи сообщают, что расширение меню быстрого доступа вызывает Неопределенная ошибка или что меню быстрого доступа на панели навигации полностью пусто.
Если вы в настоящее время боретесь с теми же симптомами, эта статья — именно то, что вы ищете. Ниже представлен набор методов, которые другие пользователи использовали для решения проблемы и исправления меню быстрого доступа. Пожалуйста, следуйте приведенным ниже методам, пока не встретите исправление, которое решает проблему в вашем конкретном сценарии. Давай начнем!
Способ 1: удаление содержимого AutomaticDestination и CustomDestination
Наиболее популярное исправление, способное решить проблему с меню быстрого доступа, — очистить содержимое двух папок: AutomaticDestinations а также CustomDestination. По-видимому, эти две папки содержат файлы данных хранилища, отвечающие за поддержание меню быстрого доступа. В этом случае удаление содержимого AutomaticDestinations а также CustomDestination является эквивалентом повторного создания меню быстрого доступа.
У вас есть два разных способа очистки содержимого AutomaticDestinations а также CustomDestination. Либо вы просматриваете эти два места вручную, либо используете командную строку с повышенными правами.
Если вы хотите просмотреть местоположение вручную, вот краткое руководство по всему этому:
Замечания: Если вы ищете более быстрый (но более технический способ) удаления содержимого двух папок, перейдите непосредственно ко второму руководству.
- Откройте проводник и щелкните вкладку «Вид» на ленте вверху. Затем убедитесь, что поле, связанное с Скрытые предметы проверено.
- Вставьте следующее местоположение в панель навигации и нажмите Enter, чтобы перейти к местоположению AutomaticDestinations папка:
% AppData% Microsoft Windows Recent automaticdestinations
- в AutomaticDestinations папку, удаляйте каждый отдельный файл, пока не останетесь с пустой папкой.
- После того, как о первой папке позаботились, вставьте следующую позицию в панель навигации и нажмите Войти открыть CustomDestination папка:
% AppData% Microsoft Windows Recent customdestinations
- в CustomDestination папка, ударил Ctrl + A чтобы выбрать все там, затем выберите удалять (или нажмите клавишу Delete), чтобы удалить все.
- Как только все файлы будут удалены из обеих папок, перезагрузите компьютер. При следующем запуске снова откройте File Explorer. Вы должны найти, что Быстрый доступ меню было перезапущено и работает правильно.
Еще один способ удалить содержимое CustomDestination а также AutomaticDestinations папки с помощью командной строки с повышенными правами. Вот полное руководство о том, как это сделать:
- Нажмите Windows ключ + R открыть окно Run. Затем введите «CMDИ нажмите Ctrl + Shift + Enter и ударил да на UAC (контроль учетных записей пользователей) открыть повышенную командную строку.
- В командной строке с повышенными правами введите следующие команды в любом порядке и нажмите Войти после каждого автоматически очищать их содержимое:
del / F / Q% APPDATA% Microsoft Windows Recent AutomaticDestitions *
del / F / Q% APPDATA% Microsoft Windows Recent CustomDestitions *
- Закройте повышенную командную строку и перезагрузите компьютер. При следующем запуске проверьте, не было ли повторно вызвано меню быстрого доступа, и сможете ли вы правильно его использовать.
Если вы все еще сталкиваетесь с проблемами в меню быстрого доступа, перейдите к Способ 2.
Способ 2: очистка параметров конфиденциальности
Если первый метод потерпел неудачу, вы можете последовать примеру других пользователей, которым удалось решить проблему, очистив кэш параметров конфиденциальности в проводнике. Пользователи в подобной ситуации смогли решить проблему после очистки кэша конфиденциальности и изменения некоторых дополнительных настроек.
Вот краткое руководство по очистке кэша параметров конфиденциальности в проводнике для сброса меню быстрого доступа:
- Откройте проводник и перейдите к Файл> Параметры открыть Свойства папки экран.
- внутри Свойства папки, перейти к генеральный и включите флажки, связанные с Показать недавно использованные файлы в Быстром доступе и Показать часто используемые папки в быстром доступе под Конфиденциальность.
- С двумя установленными флажками нажмите Очистить кнопка под Конфиденциальность.
- Закройте проводник и перезагрузите компьютер. При следующем запуске вы обнаружите, что меню быстрого доступа снова работает правильно.
Содержание
- Как отключить отображение последних папок и файлов в Проводнике Windows 10
- Отключение отображения последних папок и файлов
- Смена папки по умолчанию для Проводника Windows 10
- Как запретить системе создавать списки последних открытых файлов в Windows 10, 8.1, 8, 7
- 1. Выключение сохранения списков последних файлов с помощью редактор групповых политик
- 2. Выключение сохранения списков открывавшихся файлов с помощью редактор реестра
- Как отключить Последние файлы и Часто используемые места Windows 10
- Где находятся “Последние файлы” и “Часто используемые места”
- Как работают “Последние файлы”
- Отключить “Последние файлы” и “Часто используемые места” Windows 10
- Как отключить “Последние файлы” и “Часто используемые места” Windows 8.1 и 7
- Windows знает все, что вы делали на ПК, и может показать это другим. Как посмотреть и отключить папку с компроматом
- Смотрим секретную папку
- Отключаем секретную папку
- Как: отключить и очистить последние файлы в Windows 10
- Отключить через настройки
- Отключение последних элементов с помощью групповой политики (все пользователи)
- Ручное удаление последних файлов
Как отключить отображение последних папок и файлов в Проводнике Windows 10
По умолчанию Проводник Windows 10 запоминает часто посещаемые папки и файлы и отображает их при каждом запуске. Последние папки и файлы отображаются в разделах «Часто используемые папки» и «Последние файлы» соответственно.
Такое нововведение для Проводника в Windows 10 не каждому может понравиться, тем более если компьютером пользуется несколько человек.
Отключение отображения последних папок и файлов
Чтобы запретить Проводнику отображать Ваши последние посещенные места на компьютере, откройте его и выберите команду «Вид > Параметры» на панели сверху.
На вкладке «Общие» открывшегося диалогового окна уберите обе галочки в разделе «Конфиденциальность», а также нажмите на кнопку «Очистить», чтобы стереть сохраненную историю просмотра последних папок и файлов. Нажмите кнопки «Применить» и «ОК», чтобы сохранить настройки.
После сохранения настроек в окне Проводника будут отображаться только закрепленные папки.
Смена папки по умолчанию для Проводника Windows 10
В настройках Проводника также можно сменить папку отображения по умолчанию, выбрав в выпадающем списке «Открыть проводник для» пункт «Этот компьютер» вместо пункта «Быстрый доступ».
В таком случае при открытии Проводника будут отображаться системные папки и все запоминающие устройства компьютера, то есть то же, что и в Проводнике Windows 8.1.
Источник
Как запретить системе создавать списки последних открытых файлов в Windows 10, 8.1, 8, 7
Добрый вечер, товарищи. В продолжении темы об автоматической очистке списков последних открытых файлов, сегодня рассмотрим как вообще запретить системе эти списки создавать. К слову, самые внимательные могли бы увидеть как это сделать ещё в прошлой инструкции, но почему бы не воспользоваться случаем и не написать ещё одну статью на сайт;) Здесь, точно так же, будет два способа:
1. Выключение сохранения списков последних файлов с помощью редактор групповых политик
Данной утилиты нет в базовых и домашних выпусках Windows, поэтому если у вас стоят именно они, переходим ко второму способу.
Открываем редактор групповых политик, жмём Win+R, в открывшееся окно вводим gpedit.msc и жмём ОК.
Переходим в раздел: «Конфигурация пользователя» → «Административные шаблоны» → «Меню «Пуск» и панель задач» и ищем параметр «Не хранить сведения о недавно открывавшихся документах«.
Открываем двойным кликом параметр и переключаем на режим «Включено». Жмём ОК.
Вместе с этим параметром, автоматически включится «Очистить журнал недавно открывавшихся документов при выходе», что приведет к очистке все журналов при выключении/перезагрузке компьютера.
2. Выключение сохранения списков открывавшихся файлов с помощью редактор реестра
Этот способ полностью универсален, так как не зависит от выпуска вашей системы. Открываем реестр (способы) нажав Win+R, вводим regedit и жмём.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
И в правой части окна жмём правой клавишей мыши по пустому месту, выбираем «Создать» → «Параметр DWORD«.
Вводим название NoRecentDocsHistory и жмём по новому параметру двойным кликом, для открытия его свойств. Задаем значение 1 и жмём ОК.
Теперь система перестанет вести журналы, но записи, которые уже есть в нём никуда не денутся. Для их очистки рекомендую создать параметр ClearRecentDocsOnExit из этой инструкции, чтобы журналы почистили при выключении компьютера.
Вроде всё. Надеюсь эта статья оказалась вам полезной, обязательно нажмите одну из кнопок ниже, чтобы рассказать о ней друзьям. Также подпишитесь на обновления сайта, введя свой e-mail в поле справа или подписавшись на группу во Вконтакте и канал YouTube.
Спасибо за внимание 
Источник
Как отключить Последние файлы и Часто используемые места Windows 10
Windows запоминает какие последние файлы и папки вы открывали, их можно увидеть в специальных местах. С одной стороны – это хорошо, выручит если вы забыли где находится файл, который вы недавно открывали. А если вы не единственный пользователь ПК и вам не хочется, чтобы другие пользователи смотрели какие файлы вы открывали? В сегодняшней статье мы рассмотрим как отключить “Последние файлы” и “Часто используемые места” в Windows.
Где находятся “Последние файлы” и “Часто используемые места”
Папка в которой хранятся ссылки на последние файлы и часто используемые места в Windows 7:
Папка Recent скрыта, если вы хотите ее увидеть – нужно снять галочку в поле “Скрывать защищенные системные файлы” в свойствах папки.
То есть, открыли проводник => в адресную строку вставили одну из строк и нажали Enter.
Как работают “Последние файлы”
Здесь всё просто: проводник показывает последние открытые папки, Word – последние открытые документы, браузер показывает последние открытые страницы.
В списке “Последние файлы” количество отображаемых значений по умолчанию десять (в панели задач вы можете увеличить количество элементов). Та папка или файл, который вы открывали последними, отображается в начале списка и постепенно перемещается в конец, по мере открытия новых. Если вы открыли снова файл или папку, которая была в списке, она переместится в самое начале.
Отключить “Последние файлы” и “Часто используемые места” Windows 10
Первый способ: зайдите в меню “Пуск” => “Параметры” => “Персонализация”
С левой стороны выберите “Пуск”, с правой стороны напротив “Показывать недавно добавленные приложения” и “Показывать последние открытые элементы в списках переходов в меню “Пуск” и на панели задач” нажмите на переключатель, чтобы он стал в положение “Откл.”
Второй способ: в групповых политиках.
1. В строку поиска или в меню “Выполнить” (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.
2. Откройте “Конфигурация пользователя” => Административные шаблоны => Меню “Пуск” => с правой стороны зайдите в “Не хранить сведения о недавно открывавшихся документах” => поставьте точку напротив “Включено” и нажмите на “ОК”.
Третий способ: в параметрах папок.
1.Откройте “Проводник” => перейдите во вкладку «Вид» => с правой стороны выберите «Параметры»
2.Во вкладке “Общие” уберите галочки с “Показать недавно использовавшиеся файлы на панели быстрого доступа” и с “Показать часто используемые папки на панели быстрого доступа”, после чего нажмите “ОК”.
Как отключить “Последние файлы” и “Часто используемые места” Windows 8.1 и 7
В пустом месте на панели задач нажмите правой клавишей мыши и выберите “Свойства”
В Windows 8: во вкладке “Списки переходов” => уберите галочки с “Хранить недавно открывавшиеся программы” и “Хранить и отображать недавно открывавшиеся элементы в списках переходов”. Вы также можете установить количество последних файлов в списке.
В Windows 7: во вкладке “меню Пуск” уберите галочки с “Хранить и отображать список недавно открывавшихся программ в меню “пуск”” и “Хранить и отображать список недавно открывавшихся элементов в меню “Пуск” и на панели задач”.
На сегодня все, если вы знаете другие способы – пишите в комментариях! Счастья Вам 🙂
Источник
Windows знает все, что вы делали на ПК, и может показать это другим. Как посмотреть и отключить папку с компроматом
Однако, есть и противоположная сторона. Вы сами сможете посмотреть, кто и что делает на вашем компьютере. Также можно вычислить действия вирусов и других вредоносных программ.
Как зайти в эту секретную папку и как ее отключить, рассмотрим далее.
Смотрим секретную папку
Зайти в эту папку несложно, достаточно зажать комбинацию WIN+R и ввести команду recent
Отроется список файлов и папок, которые вы могли открывать последнее время. Отсортируйте все по дате, для удобства.
Кстати, здесь отображаются элементы, которые открывались именно в вашей учетной записи.
В целом все понятно. Папки, ярлыки, файлы выглядят как надо. Но кроме них, есть такие элементы
Здесь не совсем понятно, что это и кем открывалось. Если нажать на расположение файла, то тоже ничего не получим
Это означает, что команда выполнялась какой либо программой, либо вирусом. Проверьте, включены ли у вас были в автозапуске какие-либо программы, чтобы сопоставить выполнение данных команд с программами.
Таким образом, вы можете вычислить, кто и что делает на вашем ПК. Также есть возможность вычислить вирусной активностью.
Отключаем секретную папку
Если в не хотите, чтобы Windows собирала о вас эти данные, то папку можно отключить.
Снова жмем WIN+R и вводим команду gpedit.msc
В нижеперечисленных пунктах делаем следующее. Жмем по ним 2 раза, и в открывшемся меню выбираем «включено», и жмем ОК.
Таким образом, мы избавились от этой папки, что записывала все ваши действия. Это снизит нагрузку на компьютер, и вам больше не придется чистить историю действий.
Если у вас нет этой папки. Это не значит что ее не должно быть. Она была отключена сторонними программами по оптимизации Windows, по типу Tweaker.
Источник
Как: отключить и очистить последние файлы в Windows 10
Обновление: Перестаньте получать сообщения об ошибках и замедляйте работу своей системы с помощью нашего инструмента оптимизации. Получите это сейчас на эту ссылку
Недавние файлы аспект Проводник Windows будет работать или нет для вас. Мне это не очень нравится, потому что я предпочитаю традиционное отображение проводника диска и папки. Однако многим людям, которых я знаю, нравится иметь возможность быстро продолжить работу с файлом с того места, где он был остановлен. Если вы не уверены в этой функции, вот как удалить последние файлы из проводника Windows 10.
Recent Files представляет собой разработку избранного Windows 7 и 8, которая отображает до десяти текущих папок и до двадцати текущих файлов. Хотя это разработано, чтобы быть полезным, это не работает для всех. Это означает, что нужно сделать только одно.
Как работают последние элементы в Windows
В проводнике Windows отображаются только самые последние открытые элементы. Однако в меню «Пуск» и в списках пропуска на панели задач в разделе «Недавно использованные элементы» вы можете увидеть последние использованные элементы для этого приложения. Microsoft Word отображает последние документы, Internet Explorer отображает последние веб-сайты, а Microsoft Paint отображает недавно открытые изображения, например. По умолчанию Windows отображает десять последних использованных элементов по имени файла.
Ваши последние элементы и общие местоположения хранятся в следующих папках:
% AppData% Microsoft Windows Recent Items
% AppData% Microsoft Windows Последние AutomaticDestinations
% AppData% Microsoft Windows Последние CustomDestinations
Для удаления текущих файлов из Windows 10
Отключить через настройки
Отключение последних элементов с помощью групповой политики (все пользователи)
Несмотря на то, что настройки приложения позволяют отключать последние элементы и часто используемые местоположения для каждой учетной записи, их невозможно отключить для всех пользователей. Для этого необходимо изменить политику в редакторе групповой политики, которая доступна всем пользователям Pro и Enterprise. Этот метод особенно полезен для системных администраторов.
Ручное удаление последних файлов
Информация о последних открытых файлах хранится в виде кэшированных данных. Вы можете извлечь эти данные и время от времени удалять их вручную. Для этого:
% AppData% Microsoft Windows Recent
Заключение
Вы также можете удалить недавно открытые документы, дважды щелкнув меню «Удалить последние элементы» в меню «Пуск».
Правильно, друзья. Теперь, когда вы успешно отключили последние общие файлы и папки в Windows 10, вам больше не нужно беспокоиться о списке последних файлов, который обновляется каждый раз, когда вы открываете файл или документ. Это будет действительно полезно, если вы хотите скрыть свои текущие файлы и папки от других в рамках вашей конфиденциальности и безопасности.
Если у вас есть другие способы отключить их, вы можете поделиться ими в поле для комментариев ниже.
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
Источник
Вы можете быстро сбросить закрепленные папки в Быстром доступе в проводнике Windows 10. Данное действие может оказаться полезным, если вы закрепили много папок и теперь хотите удалить их все разом. Мы рассмотрим два метода, которыми вы сможете воспользоваться для возвращения папки «Быстрый доступ» в исходное состояние.
В панели навигации Проводника Windows 10 имеется специальный раздел «Быстрый доступ», автоматически сохраняющий ссылки на все файлы и папки, которые вы недавно открывали, а также те объекты, которые вы добавили в него вручную — «закрепить». Такие папки отображаются с символом булавки поверх значка. Закрепленные папки из Быстрого доступа будут также видны в области навигации Проводника, на панели задач и в меню «Пуск».
Благодаря этим функциям быстрый доступ заменяет «Недавние файлы» и «Избранное», которые больше не доступны в проводнике Windows 10.
В этой статье вы узнаете, как быстро сбросить папки, закрепленные в панели Быстрого доступа в Проводнике Windows 10.
К вашему сведению: все закрепленные вручную папки в панели быстрого доступа исчезнут. Проводник автоматически восстановит в Быстром доступе папки, которые по умолчанию там показывались — «Рабочий стол», «Загрузки», «Изображения» и «Документы».
- Откройте проводник.
- Перейдите в следующую папку
%AppData%MicrosoftWindowsRecentAutomaticDestinations(вставьте это местоположение в адресную строку).
- Найдите файл
f01b4d95cf55d32a.automaticDestinations-msв папке AutomaticDestinations. - Удалите этот файл. Выберите его в списке файлов и нажмите клавишу Delete.
- Теперь закройте открытые окна проводника.
- Откройте новое окно проводника. Вы обнаружите, что все папки, которые вы закрепили вручную, исчезли.
Готово!
Кроме того, вы можете сделать то же самое в командной строке. Если эту операцию приходится выполнять регулярно, можно написать cmd-файл для этой цели.
Как очистить папки быстрого доступа в командной строке
- Закройте все открытые окна проводника.
- Откройте новую командную строку.
- Введите следующую команду:
del / f / q "%AppData%MicrosoftWindowsRecentAutomaticDestinationsf01b4d95cf55d32a.automaticDestinations-ms". - После удаления файла все папки в разделе «Быстрый доступ» исчезнут.
Вот и всё.
В завершении публикации стоит отметить, что если нужно убрать из каталога Быстрого доступа одну или пару закрепленных папок, то полностью сбрасывать содержимое этого каталога не стоит. Удалить их в Windows 10 очень просто.
Кликните правой кнопкой мыши по любой из папок в списка и выберите «Удалить из панели быстрого доступа» из контекстного меню.
💡Узнавайте о новых статьях быстрее. Подпишитесь на наши каналы в Telegram и Twitter.
Судя по тому, что вы читаете этот текст, вы дочитали эту статью до конца. Если она вам понравилась, поделитесь, пожалуйста, с помощью кнопок ниже. Спасибо за вашу поддержку!
Windows, Windows 7
- 10.03.2020
- 12 611
- 2
- 25
- 24
- 1
- Содержание статьи
- Способ 1
- Способ 2
- Комментарии к статье ( 2 шт )
- Добавить комментарий
Эта инструкция расскажет вам, как очистить/удалить файл истории «Недавние документы» в Windows 7.
Способ 1
Последние файлы, которые отображаются в меню пуск, находятся в: %appdata%MicrosoftWindowsRecent
Удалить их вы можете либо нажав правой кнопкой на файлы в меню Последние в Пуске и выбрать Удалить из этого списка, либо удалить их непосредственно из папки через проводник.
Последние файлы, которые отображаются в списке перехода, находятся в: %appdata%microsoftwindowsrecentautomaticdestinations
Чтобы их удалить, очистите папку через проводник, или через командную строку с помощью команды
del %appdata%microsoftwindowsrecentautomaticdestinations*Способ 2
- Откройте Пуск, введите в строке поиска gpedit.msc и нажмите Enter.
- Если появится запрос UAC – нажмите продолжить.
- Теперь перейдите с следующую папку: Конфигурация пользователяАдминистративные шаблоныМеню Пуск и панель задач.
- В этой папке в правом поле вы увидите настройку «Очищать журнал недавно открывавшихся документов при выходе». Активируйте ее двойным щелчком.
Доброго времени прочтения, уважаемые читатели Хабра.
Побуждением к изысканиям, опубликованным в данной статье, стало набирающее все большую и большую популярность слово «форензика» и желание разобраться в вопросе — какие данные о цифровой жизнедеятельности рядового пользователя собирает ОС Windows 10, где их хранит и как сделать кнопку — «Удалить все» (Я бы взял частями, но мне нужно сразу (с) Остап Бендер).
А возникновению данного побуждения способствовало то, что, как оказалось, интерес к вопросу «как удалить историю», выдаваемую эпичной LastActivityView, до сих пор будоражит умы
при этом, зачастую, на форумах вопрос остается без ответа. Масла в огонь подливает то, что ванильный CCleaner в случае с LastActivityView не помогает.
Те, кому в основном интересна практическая сторона вопроса, насчет кнопки «Удалить все», могут сразу перейти к концу статьи — там предлагаю варианты решения.
А в статье — хочу поделиться результатами этих изысканий с теми, кого это заинтересует. Речь пойдет о тех данных, которые хранятся ОС Windows 10 локально и к которым можно просто и быстро получить доступ с использованием «бесплатных и общедоступных средств форензики», в том числе и утилит NirSoft. Хотя речь пойдет не о них (почему — смотреть ниже).
Сразу хочу оговориться — я не являюсь специалистом в области компьютерной безопасности или криминалистического анализа, не имею криминального опыта или побуждений, мамой клянусь, век воли не видать.
Целевая операционная система
В данной статье рассматривается ОС Windows 10. Другие выпуски Windows, естественно, так же грешны сбором и хранением данных, но у них ключи реестра, папки, службы и т.п. отличаются.
Содержание
Причем тут форензика
Почему речь не про NirSoft
Какие данные хранятся Windows
Зачем Windows собирает данные и чем чревато их удаление
Где эти данные хранятся?
Так как, в конце-концов, их затереть-то?
Источники
Причем тут форензика
В статье вопрос касается использования ее методов и средств для доступа к приватным данным пользователя. И, в связи с их распространением и доступностью, вполне вероятно — всуе, доморощенными форензиками-кулцхакерами, троянских дел мастерами и прочими любителями вычислять по IP или легкой наживы, да и просто недружелюбными любопытными, так как для скачивания, запуска и чтенияхсохранения данных, выдаваемых той же LastActivityView, Ниром Софером быть совсем необязательно.
Почему речь не про NirSoft
Во «вступлении» я не случайно дал ссылку на LastActivityView на Софт Портале. Там и впрямь только краткое описание функционала данной утилиты, зато на русском. А на офф. страничке своих утилит Нир Софер пишет многабукфф да еще и по-англицки шпрехает. Но, зато, почти для каждой его утилиты там есть описание, откуда она берет данные. Для LastActivityView в самом низу, под заголовком «How to delete the information displayed by LastActivityView».
Надо признать, что я и сам такой же Зоркий Глаз — когда-то, как и он, только через неделю заметил, что «у сарая одной стены нет». Но, правда, сия неделя была несколько раньше, чем LastActivityView стали пугать пользователей или, что вероятнее, когда они добрались до Софт Портала и сами научились ее пугаться.
Хотя утилиты NirSoft, наряду с SysInternals, ИМХО образец профессионализма для программиста и крайне удобны для администрирования. Да и для проведения расследований их и впрямь зачастую рекомендуют. ПруфПример: Хакер №229. Форензика и он далеко не единственный.
Хотя, думаю, подобное направление их использования само собой приходило в голову тем, кто так или иначе имел с ними дело.
А тем, кто не имел, но заинтересовался
Дабы не скачивать их в розницу — можно скачать оптом с бонусом в виде лаунчера NirSoft Launcher (при скачивании обратите внимание, что zip-файл запаролен, пароль есть на этой страничке).
Какие данные хранятся Windows
Хранится все, что связанно с доступом к файлам и папкам и их местоположением, использованием программ (в т.ч. и protable), подключением устройств хранения информации (в том числе и шифрованных файловых контейнеров).
Да, это не во всех случаях, что-то сохраняется только при определенных событиях, а что-то может быть отключено, но лучше, все же, исходить из того, что все и всегда. Что подключали, какие папки-файлы открывали, какие программы использовали.
И еще из того, что с журналами Windows — непредсказуемо, что туда будет записано. В связи хотя бы с тем, что это сильно зависит и от конкретных настроек конкретной ОС и каждой ее подсистемы, и журналы эти доступны для записи в них сообщений сторонними программами.
А причем тут «доступ» и «местоположение»? Сильно утрированный пример: номер банковской карты и ее pin-код так и останутся в файле «D:МояСуперСекретнаяПапкаCardPin.docx», никуда в Windows не запишутся, а вот факт доступа и «говорящие» имена папки и файла, то, что был использован, например, MS Office 2007 portable, а так же дата-время как минимум последнего (иногда и каждого) доступазапуска — зафиксируется Windows, причем размазано тонким слоем по всей системе.
Про некоторые другие данные — можете почитать ниже по тексту, под заголовком «Прочие источники утечек информации известные мне, но не попадающие под тематику статьи»
Стало быть, коль подключали, запускали, открывали что-то такое, что не хотелось бы, чтоб стало достоянием широкой общественности — не худо бы потом и следы замести.
Совершенно справедливый комментарий от Hanabishi — «Зато тема реального логгирования не затронута вообще никак… не упоминается ничего относящегося к телеметрии и Win10 в частности» — прошу прощения, толком не описал, что речь в статье идет о приватных данных, хранящихся локально, на ПК пользователей. Вопросы слежки, как и вопросы анонимности в сети, все-таки другая, отдельная тема.
Зачем Windows собирает данные и чем чревато их удаление
Большинство данных Windows собирает для удобства пользователя — например, для ускорения запуска приложений, для отображения папок в проводнике с теми настройками, которые задал пользователь, отображения списка ранее открытых файлов и т.д. и т.п. Затереть только данные, не лишившись при этом удобств — не получится.
Так же, часть данных собирается для оценки производительности и состояния компьютера и ОС (в том числе о сбоях и ошибках) IT-специалистами и специализированным ПО для решения возникающих у пользователя проблем. Без этих данных — решить проблемы, если они возникнут, будет сложно.
И все это еще один повод задуматься над вопросом, когда действительно необходимо стирать данные, а когда не стоит и может быть не надо стирать их огулом при каждом включении-выключении компа.
Совершенно справедливый комментарий от Hanabishi — «зачем чистить логи служб, если можно просто отключить эти самые службы?» Не упомянул я об этом. Можно. Как штатными средствами, так и танцами с бубном. Но это опять же означает — раз и навсегда лишиться удобняшек, которые наше все.
Что мне будет от Винды за масштабное выпиливание приватных данных, в том числе, с помощью предложенного тут решения?
Эпик фейлов случиться не должно, особенно если внимательно познакомиться с описанием каждого правила «очистки» и, если что, его отключить. Но и новой шапки, с новой буркой, тоже ждать не приходится.
- Если предполагаются какие-то «ремонтно-восстановительные» работы, то сотрется важная для этого информация. Но это касается, в основном, стирания журналов Windows
- Если отображение каких-то папок настраивали под себя, придется настраивать по новой
- Если задавали каким-либо программам режим совместимости или запуск от имени администратора, задавать придется заново
- Ввиду затирания данных, необходимых для ускорения доступа к данным, их отображения и запуска программ, следующий, после затирания, доступотображениезапуск, немного замедлится
- Ввиду затирания данных об открытых ранее файлах, искать их придется заново, воспользоваться пунктом меню «ранее открытые файлы» в программах не получится
- Если выбрать удаление кеша обновлений Windows, деинсталировать потом обновления штатным образом не удастся
Где эти данные хранятся?
После заявленных во вступлении «изысканий» и сверки свежеизысканного с окружающей действительностью у меня сложилось впечатление, что
кроме IBM-286 уже успели еще что-то изобрести
основные «заповедные места» не поменялись еще со времен XP, разве что местоположение и формат некоторых изменились. И кое-что добавилось, но, вроде бы, немного. Посему поэтому уверен, что Америк не открою, тем более специалистам, но может быть кого-то заинтересует эта подборка, в связи с подъемом интереса к вопросам анонимности и безопасности.
Сразу хочу предупредить — это далеко не все, только самое основное и информативное (в смысле описания не все, стирается в предложенном решении гораздо больше) и не развернуто и «галопом по Eвропам». Для тех, кому данная тема действительно интересна, в конце этой главы — известные мне интересные материалы для самостоятельного изучения + ряд конкретных «заповедных мест» приведены в решениях для их зачистики.
Основные, известные мне, источники утечек информации об активности пользователя
Реестр Windows
- ShellBags — Bags, BagMRU. Там в том числе хранится и информация о доступе к папкам, включая дату-время, для сохранения и восстановления их с настройками пользователя (размер окна проводника, выбор отображения «списокэскизы» и т.п.).
- OpenSavePidlMRU. История диалогов «открыть, сохранить».
- MUICache. История запущенных ранее программ для списка кнопки «Пуск».
- Uninstall. Хранится информация для деинсталляции инсталлированных программ. Спасибо КЭП — не за что, всегда рад помочь. Удалять ее, понятное дело, нельзя (спасибо еще раз). Содержит и дату-время установки программы.
- MountedDevices. История смонтированных (в том числе и криптованных) дисков.
Служба Background Activity Moderator (BAM
). Очередная нанотехнология от Microsoft — запиленная в Windows 10 начиная, если не ошибаюсь, с версии 1709 для каких-то своих внутренних нужд.
Данная служба ведет логи активности, правда, хранятся эти логи до перезагрузки компьютера (что подтвердилось проверкой), но все же не комильфо.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings<SID пользователя>Особо умилили результаты такого эксперимента: запускаем любимый многими TrueCrypt (protable), монтируем файл-контейнер, запускаем из него LastActivityView.
Видим в реестре запись:
То есть, теоретически, после запуска таких портабельных утилит, надо бы или перезагружаться или затирать.
Пытаться отключить службу BAM — не стоит, словите синий экран.
История «монтирования» дисков MountPoints2
(тоже содержит записи типа «TrueCryptVolumeK»)
HKEY_USERS<SID пользователя>SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2Параметр AppCompatCache ключа реестра AppCompatCache
, тоже крайне интересен (хранит данные в бинарном виде).
Ключ реестра DiagnosedApplications.
Почему-то нигде на форензик-форумах мне потом не встретилось упоминание (возможно, просто плохо искал) ключа реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications
Служебная информация Windows для отладки утечек памяти в программах.
Файловая система
- Папка Prefetch каталога Windows. Ну, тут лучше Вики вряд ли скажешь. Там же есть еще и базы данных другого оптимизатора — SuperFetch (файлы, типа AgAppLaunch.db). Формат их, как я понял, народу пока не ясен, мне тоже не особо, но при просмотре в hex-редакторе пути к приложениям просматриваются.
- Файл
C:Windowsinfsetupapi.dev.logИнофрмация о подключениях устройств, сетевых интерфейсов и не только.
- Папки проводника со списком переходов (aka Jump list). Данные хранятся по пути типа:
с:UsersUserAppDataRoamingMicrosoftWindowsRecent - Папка (см. реестр — AppCompatCache)
C:WindowsappcompatPrograms - Папка
C:WindowsPantherТут хранится информация для отката, если вы обновляли версию Windows
Журналы Windows: ну, тут без комментариев… даже совершенно справедливых.
Есть еще несколько мест в реестре и на диске, но они гораздо менее информативны и не очень интересны (см. в «решениях», ниже). И есть еще море других мест, навроде файлов «*.log» разных служб и даже не всегда Microsoft. Правда, обнадеживает то, что CCleaner на стероидах (см. ниже) затирается почти все.
Прочие источники утечек информации известные мне, но не попадающие под тематику статьи по тем или иным причинам. И тут тоже надо отметить, что почти все затирается CCleaner-ом или имеются другие свободно распространяемые утилиты.
Перечень таковых
(это не входит в данную статью о «локально» хранимых историях). Но с этим справляются CCleaner и Privazer. Тут же надо отмеить, что у CCleaner-а на стероидах, из решений в конце статьи, способности к этому повышаются в разы.
2. Все, что связанно с историей подключением USB-девайсов
. Для ее просмотра и удаления можно использовать, например, Usboblivion.
3. Все, что связанно с файловой системой
. «Безвозвратное» удаление файлов и очистка свободного места (то же «безвозвратное удаление», но уже ранее удаленных файлов, оставшихся в дебрях файловой системы). В общем вопросы, связанны с тем, что удаленные файлы можно восстановить. Заодно надо упомянуть и про кэши эскизов изображений Windows, которые имеют свойство хранить эскизы даже уже удаленных изображений. CCleaner и Privazer это тоже умеют все зачищать.
4. Все, что связанно с точками восстановления
(«теневыми копиями»), в которых сохраняется файлы, в том числе и системный реестр с незатертыми данными. Подключиться, просмотреть и восстановить из них файлыпапки (не делая откаты системы) можно и с помощью утилит NirSoft (так же с их помощь можно и прочитать информацию из файлов реестра оттуда), но, удобнее, на мой взгляд — ShadowExplorer. Удалить точки восстановления можно с помощью CCleaner. А перед созданием точек — можно запускать «зачистку», чтоб выпилить ненужную информацию до ее сохранения.
5. Вот эта ветка реестра
.
HKEY_USERS<SID пользователя>SoftwareСюда пишут свои данные программы, в том числе portable. И они тут и остаются. И если хочется скрыть использование какой-то программы, то неплохо бы проверить эту ветку и, если что, данные удалить.
6. Все, что связанно с установкой нелицензионного ПО
и что извлекается на свет Божий полицейской программой Defacto. Есть и «свободный аналог» Lpro (хотя, есть у меня не очень обоснованное предположение, что движок Defacto на ее основе или на ее идее был сделан). Но она, в отличии от Defacto, определяет только, что ПО платное, а не «нарушение авторских и смежных прав».
Выход, ИМХО — не использовать подобное. Кроме всем известного Софт Портала по этой теме могу еще предложить (если что, это не реклама, отношения к данным сайтам я не имею):
— GiveAwayOfTheDay. Каждый день раздают одну лицензионную программу (можно подписаться на рассылку).
— Бесплатные лицензии на сайте COMSS. Бесплатное (по разным акциям) лицензионное ПО и подписки. Как пример — там есть сейчас акция бесплатного VPN на год. И удобный редактор реестра из Reg Organizer, который я использовал для изысканий. И даже Acronis True Image и криптованное облачное хранилище на 2Тб и еще много чего. «Сколько?» — «Халява, сэр» (с). (можно подписаться на рассылку; не бородатых анекдотов, в смысле, а этого сайта).
Материалы по данной тематике, кроме «источников» в конце статьи
Список материалов
- Научная статья: Некоторые особенности судебно-экспертного исследования реестра Windows (очень рекомендую, в т.ч. и пользователям)
- Статьи на ForensicFocus (анг.)
- SANS Digital Forensics (анг.)
- Литература:
- «Внутреннее устройство Windows», Руссинович Марк, 7-е издание
- «Криминалистический анализ файловых систем», Кэрриэ Брайан
- «Криминалистическое исследование Windows», Карви Харлэн
- «Форензика — компьютерная криминалистика», Федотов Н.Н.
- На Habr, о профессиональных средствах форензики:
- Средства сбора данных в компьютерно-технической экспертизе
- Подборка бесплатных утилит компьютерной криминалистики
- Для программистов:
- Парсинг ряда форматов forensic-данных на C# можно попробовать посмотреть тут: EricZimmerman github
- Почитать о прасинге ShellBag можно тут
Так как, в конце-концов, их затереть-то?
Предлагаю на рассмотрение и критику следующий вариант: Прокачать CCleaner (что, думаю, и удобнее пользователям и правовернее, ибо исключает изобретение очередного велосипеда) и
использовать bat-файл для затирания журналов windows.
Плюс, ниже — собственное решение, в виде bat-файла, но его, все-таки, использовать даже по-моему,
не целесообразно
(тем более он затирает только самое основное и в основном для windows 10). Разве что -предлагаю почитать комментарии к коду.
Прокачать CCleaner + добавить ему свои правила + bat-файл для стирания журналов Windows
Для начала, надо скачивать и запустить CCEnhancer, выполнить «обновление» (по инструкции на страничке). Только непременно выбрать и нажать на данный пункт меню (предварительно закрыв CCleaner, если он запустился):
Иначе в файле winapp2.ini окажется 100500 правил, крайне доставляющих своей актуальностью для широких масс, таких, как правила очистки для эмулятора «Заики Спектрума» (может тут кто даже вспомнит такой комп), но при этом сильно тормозящих CCleaner.
Затем надо перейти в ту папку, где установлен CCleaner. Найти там файл winapp2.ini, поздравить его с облегчением и открыть (например, в nodepad++).
Дописать в конце файла следующее:
[All Prefetch]
Section=Windows10
Default=False
FileKey1=%WinDir%Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE
[AppCompatFlags Layer]
Section=Windows10
Default=False
RegKey1=HKCU.DEFAULTSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers
[Explorer RunMRU]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
[OpenSaveFilesView]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey2=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder
RegKey3=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy
RegKey4=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU
[UserAssist]
Section=Windows10
Default=True
RegKey1=HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist
[DiagnosedApplications]
Section=Windows10
Default=False
RegKey1=HKLMSOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications
[BAM]
Section=Windows10
Default=True
RegKey1=HKLMSYSTEMCurrentControlSetServicesbamUserSettings.DEFAULT
RegKey2=HKLMSYSTEMControlSet001ServicesbamUserSettings.DEFAULT
[MountedDevices]
Section=Windows10
Default=True
RegKey1=HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2
[Panther]
Section=Windows10
Default=True
FileKey1=%WinDir%Panther|*.*|RECURSE
[Minidump]
Section=Windows10
Default=True
FileKey1=%WinDir%Minidump|*.*
Сохранить файл.
Созадние bat-файла для очистки всех журналов Windows:
1. Нужно создать на компьютере текстовый файл, например с помощью nodepad++,
в кодировке OEM 866 (DOS)
(иначе, вместо русских букв, могут быть кракозябры). Скопировать в него текст и сохранить. Переименовать файл, заменив расширение .txt на .bat
2. Запускать его необходимо от имени администратора (иначе выдаст ошибку «Необходимо запустить этот скрипт от имени администратора»).
REM Last-ик ActivityView. Очистка журналов Windows
@ECHO OFF
REM Надеюсь, сохранить файл в кодировке DOS-866 не забыли
CHCP 866
COLOR A
CLS
REM ----------------------------------------------------------------------------------------
REM Проверка на наличие прав администратора
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Отказано) GOTO errNoAdmin
IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------
ECHO Нажимте 1 для очистки журналов или ENTER для выхода
ECHO.
SET /p doset="Выберите действие: "
ECHO.
REM ----------------------------------------------------------------------------------------
REM ----------------------------------------------------------------------------------------
REM Проверка выбора пользователя. Если не 1 - выход
IF %doset% NEQ 1 EXIT
REM ------------------------------------------------------------------------------------------
REM Очистка всех журналов Windows. Следует проводить вначале, до запуска CCleaner, чтоб в логах не осталось вызовов wevtutil
ECHO.
ECHO ОЧИСТКА ВСЕХ ЖУРНАЛОВ Windows
FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
ECHO.
ECHO Выполнено
ECHO.
REM ------------------------------------------------------------------------------------------
PAUSE
EXIT
:do_clear
ECHO Очистка журнала %1
wevtutil.exe cl %1
GOTO :eof
:errNoAdmin
COLOR 4
ECHO Необходимо запустить этот скрипт от имени администратора
ECHO.
PAUSE
На всякий случай, перед первым запуском, надо создать точку восстановления
Можно дополнительно почитать развернутое и понятное описание всех основных правил CCleaner-а и последствий их применения, тут (рус.)
Запустить bat-файл. Дождаться, пока закончит работу.
Открыть ССleaner, перейти в нем в «Очистку».
Выбрать следующие правила
На вкладке «Windows»
На вкладке «Приложения»
Если используете FireFox и Thunderbird
, предлагаю использовать следующие правила:
При этом необходимо учесть
, что для FireFox — сотрутся сохраненные пароли к сайтам (придется вводить заново, при входе на сайт). Но можно снять галочку с правила «сохраненные пароли».
Выполнить очистку.
2 вариант — Использовать bat-файл
Инструкция
Это альфа-версия и, теоретически, может что-то таки сломать, так что используем на свой страх и риск.
Первый раз, перед запуском, сделав точку восстановления системы.
1. Необходимо создать на компьютере текстовый файл, например с помощью nodepad++,
в кодировке OEM 866 (DOS)
(иначе, вместо русских букв, могут быть кракозябры). Скопировать в него текст и сохранить, переименовав файл, заменив расширение .txt на .bat
2.
Внимательно ознакомится с комментариями
к его коду (т.к. там описаны и отрицательные моменты, связанные с затиранием)
3. Запустить его от имени администратора (иначе выдаст ошибку «Необходимо запустить этот скрипт от имени администратора»).
4. Если каких-то ключей реестра или папок нет, скрипт должен это действие пропустить.
(это не ошибки, это не найдено и пропущено)
Текст bat-файла
Прощу прощения, подсветки batch-файлов не нашел.
REM Last-ик ActivityView. Версия 1 Alpha
@ECHO OFF
REM Надеюсь, сохранить файл в кодировке DOS-866 не забыли
CHCP 866
REM Зеленый на черном - интригующе... опять же, хакеры и все такое
COLOR A
CLS
REM ----------------------------------------------------------------------------------------
REM Проверка на наличие прав администратора
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Отказано) GOTO errNoAdmin
IF (%adminTest%)==(Access) GOTO errNoAdmin
REM ----------------------------------------------------------------------------------------
REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REM При выборе пункта 1 ничего особо плохого произойти, для пользователя, не должно.
REM Но будут удалены сохраненные данные о размерах окон папок в проводнике и настройки их вида (списокэскизы и т.д.)
REM При выборе п.п. 2-3
REM 1. При первой перезагрузке чуть-чуть замедлится запуск Windows т.е. первый, после нее, запуск некоторых программ (в т.ч. в автозагрузке)
REM из-за удаления файлов оптимизации запуска Prefetch и SuperFetch
REM 2. Будет удалена информация о запуске программ в режиме совместимости или о запуске от имени администратора
REM но это - если пользователь такое назначал для чего-то и восстанавливается назначением этого заново
REM или найдите и уберите из скрипта удаление данных из ...AppCompatFlagsLayers
REM 3. Будет удалена накопленная до этого момента информация о производительности и ошибках
REM но, если в текущий момент с компом все нормально и его не надо "анализировать и чинить", то тоже ничего страшного
REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REM ----------------------------------------------------------------------------------------
REM Меню выбора пользователя
ECHO.
ECHO Не обязательно!
ECHO но желательно закрыть все программы и данный файл, если он открыт в текстовом редакторе, а после завершения - перезагрузиться
ECHO.
ECHO.
REM Часть информации останется, и будет таки отображаться в утилитах NirSoft
ECHO 1 - Очистка основных логов в реестре
REM Удалить все, что удалось найти.
REM (почти вся информация из утилит NirSoft пропадет)
REM При этом:
REM 1. Немного замедлится следующая загрузка ПК и первый, после нее, запуск некоторых программ (из-за удаления Perfect и SuperFetch)
REM 2. Удалятся сведения о ранее возникших ошибках (Minidump)
REM 3. В меню "Пуск" очистится список ранее запущенных программ
REM 4. Будет очищен список тех программ, для которых пользователь задал "запускать в режиме совместимости или от имени администратора".
REM (надо будет задавать для них совместимость заново)
ECHO 2 - Очистка всех логов в реестре, файлов Perfect и Minidump
REM См. п.2 + сотрутся ранее записанные данные журналов Windows
ECHO 3 - Очистка всех логов, файлов Perfect и журналов Windows
ECHO или нажмите ENTER для выхода
ECHO.
SET /p doset="Выберите действие: "
ECHO.
REM ----------------------------------------------------------------------------------------
REM ----------------------------------------------------------------------------------------
REM Проверка выбора пользователя. Если не 1 и не 2 и не 3 - выход
IF %doset% NEQ 1 (
IF %doset% NEQ 2 (
IF %doset% NEQ 3 EXIT
)
)
REM ----------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM Очистка всех журналов Windows, если пользователь выбрал в меню 3. Проводим вначале, чтоб в логах не осталось вызовов wevtutil
REM утилиты NirSoft - LastActivityView
IF %doset% EQU 3 (
ECHO.
ECHO ОЧИСТКА ВСЕХ ЖУРНАЛОВ Windows
FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
ECHO.
ECHO Выполнено
ECHO.
)
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM ShellBag. История запуска приложений и доступа к папкам, связанная с "оболочкой"
REM утилиты NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView
ECHO.
ECHO ОЧИСТКА ИСТОРИИ ShellBag - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBags" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU" /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags" /f
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM Explorer. История запуска приложений связанная с "Проводником"
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Explorer - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM ComDlg32. История диалогов "открытьсохранить" и "последних мест посещений"
REM утилиты NirSoft - LastActivityView
ECHO.
ECHO ОЧИСТКА ИСТОРИИ OpenSave и LastVisited - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32FirstFolder" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU" /va /f
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRULegacy" /va /f
REM (утилиты NirSoft - OpenSaveFilesView)
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU" /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU"
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM если пользователь выбрал в меню не 1 т.е. 2 или 3
IF %doset% NEQ 1 (
REM UserAssist. Очистка списока запущенных программ в меню "Пуск"
REM утилиты NirSoft - UserAssistView
ECHO.
ECHO ОЧИСТКА ИСТОРИИ UserAssist - реестр
REG DELETE "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist" /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist"
ECHO.
)
REM ------------------------------------------------------------------------------------------
REM AppCompatCache
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompatCache - реестр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCompatCache" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession ManagerAppCompatCache" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM DiagnosedApplications. Диагностика утечек памяти в приложении ОС Windows
ECHO.
ECHO ОЧИСТКА ИСТОРИИ DiagnosedApplications - реестр
REG DELETE "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications" /f
REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftRADARHeapLeakDetectionDiagnosedApplications"
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM Получение SID - идентификатор безопасности текущего пользователя
FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM Search. История поиска
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Search - реестр
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps" /f
REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps"
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM BAM.
REM По идее, при перезагрузке затрется само.
REM Но можно сделать отдельный bat и запускать, например, после работы с portable-приложениями
ECHO.
ECHO ОЧИСТКА ИСТОРИИ службы Background Activity Moderator - реестр
REG DELETE "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbamUserSettings%usersid%" /va /f
REG DELETE "HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesbamUserSettings%usersid%" /va /f
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM AppCompatFlags
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompatFlags - реестр
REM утилиты NirSoft - ExecutedProgramsList
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsCompatibility AssistantStore" /va /f
REM если пользователь выбрал в меню не 1 т.е. 2 или 3
IF %doset% NEQ 1 (
REM Список программ, для которых задан "режим совместимости" или "запускать от имен администратора"
REM утилиты NirSoft - AppCompatibilityView
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers" /va /f
)
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM История "монтирования" дисков в т.ч. и TrueCrypt
ECHO.
ECHO ОЧИСТКА ИСТОРИИ MountedDevices - реестр
ECHO.
REG DELETE "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /f
REG ADD "HKEY_USERS%usersid%SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2"
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
REM Очистка списков быстрого перехода
ECHO.
REM утилиты NirSoft - JumpListsView, RecentFilesView
ECHO ОЧИСТКА ИСТОРИИ Recent - файловая система
DEL /f /q %APPDATA%MicrosoftWindowsRecent*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentCustomDestinations*.*
DEL /f /q %APPDATA%MicrosoftWindowsRecentAutomaticDestinations*.*
ECHO Выполнено
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Panther - файловая система
DEL /f /q %systemroot%Panther*.*
ECHO Выполнено
ECHO.
REM ------------------------------------------------------------------------------------------
REM ------------------------------------------------------------------------------------------
ECHO.
ECHO ОЧИСТКА ИСТОРИИ AppCompat - файловая система
DEL /f /q %systemroot%appcompatPrograms*.txt
DEL /f /q %systemroot%appcompatPrograms*.xml
DEL /f /q %systemroot%appcompatProgramsInstall*.txt
DEL /f /q %systemroot%appcompatProgramsInstall*.xml
ECHO Выполнено
ECHO.
REM ----
REM ------------------------------------------------------------------------------------------
IF %doset% NEQ 1 (
ECHO.
REM Prefetch. Удаление файлов, оптимизирующих запуск приложений. Windows в следующий раз загрузится медленнее
REM утилиты NirSoft - LastActivityView, ExecutedProgramsList
ECHO ОЧИСТКА ИСТОРИИ Prefetch - файловая система
DEL /f /q %systemroot%Prefetch*.pf
DEL /f /q %systemroot%Prefetch*.ini
DEL /f /q %systemroot%Prefetch*.7db
DEL /f /q %systemroot%Prefetch*.ebd
DEL /f /q %systemroot%Prefetch*.bin
REM SuperFetch. Удаление баз оптимизации SuperFetch
DEL /f /q %systemroot%Prefetch*.db
REM Trace. Удаление файлов трассировки
DEL /f /q %systemroot%PrefetchReadyBoot*.fx
ECHO Выполнено
ECHO.
ECHO.
ECHO ОЧИСТКА ИСТОРИИ Minidump - файловая система
REM Удаление дампов ошибок
REM утилиты NirSoft - LastActivityView
DEL /f /q %systemroot%Minidump*.*
ECHO Выполнено
)
ECHO.
REM ------------------------------------------------------------------------------------------
PAUSE
EXIT
:do_clear
ECHO Очистка журнала %1
wevtutil.exe cl %1
GOTO :eof
:errNoAdmin
COLOR 4
ECHO Необходимо запустить этот скрипт от имени администратора
ECHO.
PAUSE
Финал
После использования первого или второго варианта можно запустить утилиты NirSoft, для того, чтоб посмотреть, достигли ли мы желаемого эффекта.
Профит… Теперь, главное, покормить собак и ничего не трогать. А то она опять начнет оперу писать…
Возможные сценарии использования решений bat и CCleaner
- Использовать по отдельности. Тем более, что затирать журналы имеет смысл уж совсем в «приватных случаях»
- Сделать единый bat-файл, который сначала затирает журналы, а вместо всего остального — вызывает CCleaner, то есть, после стирания журналов, поставить вызов: «C:Program FilesCCleanerCCleaner64.exe» /AUTOS
- Поставить этот bat-файл в автозагрузку (что, вероятно, заодно решит проблему с запуском CCleaner на Windows 10)
- Поставить bat-файл на момент завершения работы Windows, что правильнее в смысле «заметания следов». Через редактор групповых политик gpedit.msc — «Конфигурация компьютера» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — параметр «Завершение работы».
Источники
- Утилита Procmon из состава SysinternalsSuite имени Марка Руссиновича, c которой нередко все тайное — становится явным… В том числе и куда обращаются утилиты NirSoft. Его блог на тему использования утилит (рус.).
- Статьи Windows registry and forensics: часть 1 и часть 2. (анг.)
- Статьи блога Компьютерная криминалистика (форензика) сайта CodeBy. Цикл статей Forensics Windows Registry (рус.).
- Статья Очистка журналов Windows (анл.).
- Статья Cоздание собственных правил CCleaner (анг.).
Кстати, а почему Forensic resistance 1?
Сие станет понятно, если дело когда-нибудь дойдет до 2.
Когда-то я написал статью о том, как очистить список последних элементов в Windows. Если вы добавили Недавние предметы Опция меню Пуск, вы или кто-либо другой мог видеть все файлы, которые вы недавно открыли!
Если вы фанат конфиденциальности, который не хочет, чтобы кто-то еще видел, какие документы вы открывали, очистка этого списка необходима! Однако, начиная с Windows 7, появилась новая функция под названием «Список переходов». Вы можете прочитать мой предыдущий пост понять, как работают списки переходов,
Благодаря спискам переходов эта функциональность в основном переместилась из меню «Пуск» на панель задач в Windows 8 и Windows 10! Например, если вы откроете несколько документов Word, а затем щелкните правой кнопкой мыши значок Word на панели задач, вы увидите следующий список:
Это даже хуже для чего-то вроде веб-браузера. Когда я щелкнул правой кнопкой мыши значок Chrome на панели задач, я был удивлен, увидев список моих самых посещаемых сайтов и недавно закрытых вкладок!
Если никто больше не использует ваш компьютер, это нормально, но в остальном это похоже на быстрый просмотр ваших личных вещей! Очевидно, что Microsoft создала эту функцию для удобства, чтобы вы могли легко открыть веб-страницу, которую вы часто посещаете, или файл, над которым вы недавно работали.
Каждая программа должна отдельно поддерживать эту функцию, чтобы увидеть список. Если программа не поддерживает списки переходов, вы ничего не увидите, если щелкнуть правой кнопкой мыши по значку.
Очистка отдельных элементов списка переходов
Теперь, когда дело доходит до удаления элементов в списке переходов, есть несколько способов сделать это. Во-первых, давайте начнем с удаления отдельных элементов из списка. Самый простой способ избавиться от одного предмета — просто щелкнуть по нему правой кнопкой мыши и выбрать Убрать из списка,
Очевидно, это просто для очистки небольшого количества предметов. Если вы удалите все элементы, вам придется настроить параметр в Windows. Процедура для этого различна в зависимости от того, какую версию Windows вы используете. Я покажу вам, как это сделать в Windows 7 и Windows 10.
Чтобы запретить Windows сохранять и отображать список последних элементов на панели задач, сначала нужно щелкнуть правой кнопкой мыши панель задач и выбрать свойства,
Теперь нажмите на вкладку «Пуск» и снимите флажок Сохранение и отображение недавно открытых элементов в меню «Пуск» и на панели задач коробка.
Нажмите OK, и все данные, сохраненные для недавно открытых элементов, будут удалены. Теперь, когда вы щелкаете правой кнопкой мыши по любой программе на панели задач, никакие личные данные не отображаются. Обратите внимание, что это хороший способ уничтожить все сохраненные данные и начать с нуля.
Если вы хотите, вы можете установить флажок снова, и он начнет хранить недавно открытые предметы, но с чистого листа. Очевидно, просто не устанавливайте этот флажок, если вы не хотите, чтобы Windows сохраняла вашу историю.
Отключить списки переходов в Windows 10
В Windows 10 процедура изменилась. Если вы щелкните правой кнопкой мыши на панели задач и перейдете в Свойства, вы увидите, что больше нет даже вкладки «Пуск».
Для Windows 10 вы должны нажать на Начните а потом настройки первый. Затем нажмите на воплощение,
Нажмите Пуск в левом меню, а затем нажмите на Показать недавно открытые элементы в списках переходов при запуске или на панели задач кнопка переключения, чтобы он сказал от,
Очистить списки переходов вручную
Все последние элементы в любом списке переходов хранятся в Windows в скрытом месте, к которому вы можете обратиться в Windows 7 или более поздней версии, перейдя в следующую папку в проводнике:
% AppData% Microsoft Windows Recent AutomaticDestinations
Скопируйте и вставьте это в Windows Explorer и нажмите Enter. Теперь вы увидите список файлов с очень длинными и запутанными именами. Это потому, что все списки переходов закодированы. Каждый файл представляет собой список последних элементов для списка переходов конкретной программы.
Невозможно определить, какие записи соответствуют каким спискам переходов, если вы не откроете файл в текстовом редакторе и не просмотрите его. Однако, поскольку все файлы являются только недавними элементами в списке переходов, вы можете удалить все файлы, и он очистит все последние элементы во всех списках переходов.
Это все разные способы очистки списка последних элементов из списка переходов в Windows. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!