Списки открытых файлов и подключенных по USB устройств, история браузера, кеш DNS — все это помогает узнать, что делал пользователь. Мы составили пошаговую инструкцию, как убрать следы своей деятельности в разных версиях Windows, Office и популярных браузерах. В конце статьи ты найдешь несколько скриптов, которые помогут тебе автоматически поддерживать чистоту на своей машине.

 

1. Очистка списков недавних мест и программ

Начнем уборку со списков недавних мест и программ. Список недавних (в Windows 10 — часто используемых) программ находится в главном меню, а список недавних мест — в проводнике.

Список часто используемых программ в Windows 7 и 10
Список часто используемых программ в Windows 7 и 10
Список часто используемых папок и последних файлов
Список часто используемых папок и последних файлов

Как отключить это безобразие? В Windows 7 — щелкнуть правой кнопкой мыши на кнопке «Пуск», выбрать «Свойства» и в появившемся окне снять обе галочки в разделе «Конфиденциальность».

Отключаем хранение списка последних программ в Windows 7
Отключаем хранение списка последних программ в Windows 7

Чтобы очистить список последних мест и документов, нужно удалить содержимое каталога %appdata%\Microsoft\Windows\Recent. Для этого открой командную строку и выполни две команды:

cd %appdata%\Microsoft\Windows\Recent
echo y | del *.*

Также не помешает удалить содержимое каталога %appdata%\microsoft\windows\recent\automaticdestinations\. В нем хранятся последние файлы, которые отображаются в списке перехода:

cd %appdata%\microsoft\windows\recent\automaticdestinations\
echo y | del *.*

Далее эти строчки пригодятся нам, когда будем писать собственный скрипт для очистки системы от следов нашего пребывания в ней.

Чтобы последние файлы очищались автоматически при выходе, нужно включить политику «Очищать журнал недавно открывавшихся документов при выходе», которая находится в разделе «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач».

Теперь переходим к Windows 10. Отключить список недавно добавленных и часто используемых приложений можно через окно «Параметры». Открой его и перейди в раздел «Персонализация», пункт «Пуск». Отключи все, что там есть.

Отключение хранения списка программ в Windows 10
Отключение хранения списка программ в Windows 10

Кажется, что проблема решена, но это, увы, не совсем так. Если включить эти параметры снова, то все списки в таком же составе появятся вновь. Поэтому придется отключать эту фичу через групповую политику. Открой gpedit.msc и перейди в раздел «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач». Включи следующие политики:

  • «Очистка списка недавно использовавшихся программ для новых пользователей»;
  • «Очистить журнал недавно открывавшихся документов при выходе»;
  • «Очистить журнал уведомлений на плитке при выходе»;
  • «Удалить список программ, закрепленных в меню „Пуск“».
Групповая политика
Групповая политика

Очистить недавние места в Windows 10 проще, чем в «семерке». Открой проводник, перейди на вкладку «Вид» и нажми кнопку «Параметры». В появившемся окне отключи параметры «Показывать недавно использовавшиеся файлы на панели быстрого доступа» и «Показывать часто используемые папки на панели быстрого доступа». Не забудь нажать кнопку «Очистить».

Параметры папок Windows 10
Параметры папок Windows 10

Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение. Без редактирования групповых политик — никуда.

 

2. Очистка списка USB-накопителей

На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный — бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.

Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

Вот они — все накопители, которые ты подключал к своему компу.

Раздел реестра с историей подключения накопителей
Раздел реестра с историей подключения накопителей

Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».

Упс...
Упс…

Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.

Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя. На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов. USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.

Могу порекомендовать программу USB Oblivion. Запусти ее, поставь галочку «Произвести реальную очистку». Параметр «Сохранить .reg-файл отмены» можешь включить или нет, но если цель не проверить программу, а подготовиться к грядущей инспекции компьютера, то лучше выключить.

USB Oblivion
USB Oblivion

Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.

USB Oblivion в действии
USB Oblivion в действии
 

3. Очистка кеша и истории браузеров

Третий пункт в нашем туду — очистка кеша и журнала браузеров. Тут сложностей никаких — каждый браузер позволяет сбросить список недавно посещенных сайтов.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


19 комментариев

  1. ammosick

    05.05.2016 at 17:32

    ПОБОЛЬШЕ ТАКОГО!

  2. Y3Ti

    06.05.2016 at 10:19

    Жаль здесь нет пометки: запомнить (для аккаунта)
    или я не знаю

  3. Посетитель музея

    06.05.2016 at 23:03

    Какой смысл удалять то, что уже передано куда следует и известно кое кому? Равносильно, проехать по проспекту Вернадского со скоростью 211 км/ч и потом удалить видео поездки, со своего видео регистратора, тем самым, вселив в себя уверенность, что все пройдет безнаказанно.. Тем более, сама идея, юзать вражескую ОС, которая следит за тобой, зная об этом.. юзать её и бороться с ней — не это ли — апофеоз идиотизма..

  4. shane54

    08.05.2016 at 14:03

    Денис, вот Вы пишите:

    > … обрати внимание — на скриншоте есть два параметра, которые нужно поменять на единицу …

    А слабо что ли на скрине выделить необходимое? Что, скинуться всем читателям и купить вам в редакцию лицензию на SnagIt ? При желании можно и в MS Paint это делать. Было бо оно самое, это желание.

    P.S. А где кнопка «preview комментария», где ссылка на Help с описанием поддерживаемых тегов для комментариев, где галка «подписаться на уведомления о новых комментах» ?

  5. h0lera

    09.05.2016 at 21:03

    @echo off
    FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V
    IF (%adminTest%)==(Access) goto noAdmin
    for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G»)
    echo.
    echo Event Logs have been cleared! ^
    goto theEnd
    :do_clear
    echo clearing %1
    wevtutil.exe cl %1
    goto :eof
    :noAdmin
    echo You must run this script as an Administrator!
    echo ^
    :theEnd
    pause>NUL

    • SteelAlexander

      01.06.2016 at 11:05

      — Что за скрипт и как им использоваться? — Если можно дайте подробную инструкцию, пожалуйста!

  6. h0lera

    09.05.2016 at 21:06

    вообще огнелис и хром имеет фичу HTTP Public Key Pinning так что можешь чистить историю браузера, но узнать на какие сайты ты заходил не проблема…

  7. h0lera

    09.05.2016 at 22:48

    что попасть в recent не надо трогать %appdata и выполнять хитросделанные команды, просто:
    windows+R (type) recent

  8. h0lera

    09.05.2016 at 22:50

    хакер едет из москвы в питер через владивосток

  9. allgood

    11.05.2016 at 13:08

    Серьезно? Вот эта статья для детишек, прячущих свои порновылазки, за это я плачу?

  10. SteelAlexander

    01.06.2016 at 13:12

    — Пожалуйста, не могли вы отправить на мою почту продолжение этой статьи, если конечно можно!

  11. SteelAlexander

    02.06.2016 at 21:04

    Вы же сказали до десяти пунктов, а где же остальные семь пунктов? отправьте, пожалуйста, полную статью, если можно конечно! Надеюсь, дождусь вашего ответа!

  12. SteelAlexander

    04.06.2016 at 22:22

    — Видимо я так и не дождусь вашего ответа или скажите мне, в конце концов, что это неполная статья и за определенную сумму вышлете мне в почту полную статью, вот тогда я пойму, а то сидите мне тут, набрав в рот воды!..

  13. fixkau

    28.08.2017 at 16:13

    USB Oblivion может удалить хвосты входа, а я нет? как нужно зайти в реестр чтобы можно было редактировать его? win 7, 10

  14. fixkau

    28.08.2017 at 16:14

Оставить мнение

Check Also

Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов

Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-в…