Если я использую внешний жесткий диск для обновления и сохранения документов вместо жесткого диска на компьютере , он оставит следы моих документов на диске в компьютере? Я знаю, что мои последние документы могут быть очищены и т.д., Но я не хочу оставлять следы некоторых конфиденциальных документов, над которыми мне нужно работать, пока я не на своем компьютере
3 ответа
4
1) следы самого USB-накопителя остаются в XP, в том числе в диспетчере устройств (выберите "Показать скрытые устройства" в меню, вы найдете запись для "Общий том" или "USB Mass Storage Device" или тому подобное). Насколько я знаю, это не прослеживается для конкретного диска, и, конечно, это не обязательно то, о чем спрашивали, но хорошо помнить, что если вы не предполагаете подключать съемные диски к работе компьютер, это оставит след ...
2) В зависимости от того, какую программу вы использовали для редактирования файла на флэш-накопителе, да, окна будут разбрасывать ссылки по всему компьютеру. В меню MRU будет ссылка на отредактированный документ для используемой программы (например, Word), а также запись в папке "Мои недавние документы" Windows (как упоминалось в оригинальном постере). Некоторые программы даже сохраняют растровое изображение файла в реестре! (Например, Paint.NET - спасибо, Paint.NET, для показа моей подруги всех моих пней порно)
3) Word использует скрытые временные файлы для хранения изменений в документе. В случае версий, предшествующих Word '07 (или, возможно, '03, не уверен), он использовал формат имени файла ~ WRLnnnn.tmp. В более поздних версиях он использует шаблон ~ $ _Important_Confidential_File.docx, где исходный файл называется My_Important_Confidential_File.docx. В любом случае временный файл обычно хранится в той же папке, что и исходный файл, однако иногда этот файл сохраняется в папке% TEMP%, если, например, накопитель слишком полон, чтобы разрешить создание временного файла. Наконец, Word иногда создает автообновление рассматриваемого файла, снова в папке% TEMP%!
3) Имя файла может отображаться или не отображаться в истории проводника - его можно, конечно, удалить с помощью функции удаления истории в INTERNET Explorer.
4) И последнее: добрый ол 'hiberfil.sys и pagefile.sys. Hiberfil.sys - это копия содержимого памяти компьютера, используемая для хранения состояния компьютера в режиме гибернации. Pagefile.sys - это файл подкачки (используется для виртуальной памяти). Теоретически возможно восстановить биты конфиденциального файла или файлов из файла подкачки или файла гибернации, даже если конфиденциальный файл был загружен со съемного диска. Однако, если у компьютера не было жесткого отключения (то есть потери питания) во время редактирования, кажется маловероятным, что даже лучший эксперт по компьютерной криминалистике мог бы легко восстановить данные в таком случае или имел бы мотивацию попробовать. Если вы не редактируете / просматриваете сверхсекретные правительственные или корпоративные данные или конфиденциальные данные, которые могут поставить под угрозу жизнь или средства к существованию других людей, если данные будут скомпрометированы или просмотрены третьей стороной, это, вероятно, не о чем беспокоиться.
4
Всегда есть вероятность, что части вашего документа останутся в файле подкачки, а также, что (в зависимости от приложения) временные файлы в каталоге %temp% могут быть созданы во время обработки. Даже если все временные файлы будут удалены без каких-либо довольно сложных операций очистки диска, всегда есть вероятность, что содержимое файлов будет восстановлено.
1
Операционные системы Microsoft Windows записывают артефакты при съемных USB-накопителях (флэш-накопители, iPod, цифровые камеры, внешние жесткие диски и т.д.) подключены к системе.
Более подробное объяснение того, как увидеть этот UUID, и информацию здесь http://www.forensicswiki.org/wiki/USB_History_Viewing.
вот для следов часть, ..
о документах: чистка временных каталогов и последних документов - хорошая идея. Вы можете использовать портативную версию CCleaner для этого.
о файле подкачки: перезагрузка должна позаботиться об этом. но вы никогда не застрахованы от атаки ColdBoot