无忧启动论坛

标题: 【20121013】USBClear v1.2.1 Beta-U盘记录清理工具 By X（可完整清理移动硬盘记录） [打印本页]

作者: xmanweb 时间: 2010-12-19 17:01
标题: 【20121013】USBClear v1.2.1 Beta-U盘记录清理工具 By X（可完整清理移动硬盘记录）
声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。

这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员方式运行”即可兼容Vista和Win7系统。

更新手记：
昨日清理系统时发现，在上一版本修复了HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR项下有子项含有“%、！”等特殊字符而导致无法删除的BUG后，再次出现无法删除的情况，经研究发现是删除递归的层数太少导致，现将这个BUG修复

旧图像.PNG (3.03 KB, 下载次数: 265)

下载附件

2011-6-17 21:58 上传

====>>

新图像.PNG (2.86 KB, 下载次数: 289)

下载附件

2011-6-17 21:58 上传

因为本程序是清理优盘的，之前的图标刷子下面是个固定磁盘，现在被我硬生生的换为可移动磁盘了，更贴切U盘记录清理器的名称，呵呵

值得提一句的是，在win7系统下u盘记录除了会存在于注册表和setupapi日志文件中，还会出现在系统的日志中，这种日志的清理我还未找到通过命令行删除的办法，你可以通过右键点击“计算机”-->“属性”-->“管理”-->“事件查看器”-->“系统”，点击右边“清除日志”即可。当然，你也可以在PE下删除C:\Windows\System32\winevt\Logs目录下的*.evt文件

友情提示：根据Pauly猫大的讲解可知，本工具虽然能删除注册表内u盘相关记录，可以应对一般usb设备检查软件的检查，但是记录删除后，在config\SYSTEM这个HIV文件里用winhex查看还是可以见到删除过的记录的关键字的，为了防止有扇区扫描方式检查u盘记录软件（如RG涉密信息自查工具2012）的检查，本人推荐以下操作：

第一步，清理u盘记录。在正常系统下运行USBClear使用强制模式，清除所有相关记录。或者直接进入WINPE，使用RUNSCANNER.EXE /t 0 /ac /cp /y USBClear.exe方式，运行起来USBClear清除相关记录。
第二步，压缩注册表HIV。这一步你需要进入WINPE或其他系统以使待清理系统注册表HIV离线。以WINPE为例，进入PE后，使用REGWORKSHOP工具（regedit也行），文件—>加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下的一个子项，右键点击该项，选择导出，然后再文件保存对话框中，保存类型选择“注册表配置单元文件”，然后找一个地方保存起来备用。最后，使用文件—>卸载配置单元来卸载SYSTEM。
第三步，覆盖原始HIV。这一步要使用ERASER软件。使用ERASER软件，擦除SYSTEM和相关的LOG文件。用刚才保存得到的HIV文件，修改文件名为SYSTEM，拷贝到Windows\system32\config\下即可。
第四步，清理其它可能存在位置。删除任何可能存在u盘记录的文件：
目前本人已知的可能存有u盘记录的文件位置如下：
C:\System Volume Information 文件夹
C:\Windows\repair 文件夹
C:\Windows\System32\config\RegBack 文件夹
C:\Windows\System32\winevt\Logs 文件夹下的所有*.evt文件
C:\Windows\inf\setupapi.dev.log.0.old 文件
C:\Windows\setupapi.log.0.old 文件
C:\PageFiles.sys 文件
C:\hiberfil.sys 文件
删除以上文件和文件夹。
强烈建议删除：
C:\Windows\TEMP、C:\Documents and Settings\[你的用户名]\Local Settings\Temp和C:\Users\[你的用户名]\AppData\Local\Temp等临时文件目录
全部删除完毕后，使用Ultimate defrag 2008等磁盘整理软件，对磁盘进行“固实整理”，最后使用ERASER对目标系统盘进行空余空间擦除操作即可完成所有记录的清除了。
第五步，善后。最后为了清除使用ERASER的痕迹，可以将FAT32转换为NTFS，NTFS则使用WINPM9等软件对MFT进行压缩操作即可。

相关加粗软件见网盘链接：http://pan.baidu.com/share/link?shareid=96951&uk=2349119407

这个U盘记录清理工具与网上其他类似的工具相比，具有以下特点：
1. 完整清理注册表内所有与U盘（包括普通U盘，移动硬盘，USB软驱，USB光驱）相关的各种记录
   这里的各种记录是我经过插拔优盘对注册表的跟踪得来的结果，包含以下种类型记录：
+ 所有的系统配置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX下的：
   - Deviceclasses设备驱动痕迹
   - USB大容量存储设备驱动与USBFlags痕迹
   - USBSTOR设备驱动痕迹
   - USB通用卷Volume驱动痕迹
   - RemovableMedia驱动痕迹
   - 移动硬盘Volume驱动痕迹
   - UMB设备驱动痕迹
   - USBSTOR服务痕迹
+ 所有用户配置下的：
   - SetupAPI日志文件痕迹
   - 挂载点MountPoints痕迹
   - DREDGE记录痕迹
   - EMDMgmt驱动痕迹
   - Portable Devices驱动痕迹
如果以上这些项被删除，那么一个U盘插拔后所有对系统注册表的改动都将被删除。
2. 精准清理U盘相关记录，不影响其他USB设备
本工具只搜索U盘相关的注册表项，并不删除其他usb设备的设备和驱动记录
3. 可强制清理可能与U盘相关的冗余驱动记录
在某些情况下，如果一些U盘经过了手工卸载后，会遗留下一些冗余的驱动痕迹，本工具可智能判断未使用的usbstor，disk，volume，UMB驱动记录，并在强制清理模式下删除。从而确保注册表内不会有任何可能与U盘相关的记录。但是由于本人是个菜鸟，所以可能会有删除错误的风险。呵呵。。

本工具目前的缺点：

运行速度慢，因为使用命令行，调用大量的for循环和find指令，所以比较慢，请您耐心等待。
不能有选择删除，因为当初设计的目的就是完全清理干净任何相关的记录，所以。。。

希望以后可以改进。。

最后请大家多多帮我测试，一起完善这个工具。

更新历史：
2012-10-13：1.2.1 再次修正ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（递归层数过少导致）
2012-03-28：1.2.0 修正部分ControlSet002配置下“Enum\USBSTOR”项无法删除的BUG（源于1.0.7版的BUG修正不彻底所致）
2011-12-30：1.1.9 改进“USB大容量存储设备识别”方式，由识别“USBSTOR服务”改为识别“设备类USB\Class_08"
2011-09-18：1.1.8 修复Win7下SetupAPI日志未删除BUG，修复PE1.X无法清除win7离线系统u盘记录的BUG
2011-06-17：1.1.7 修改了程序图标，完善了界面和描述，并减小对%TEMP%文件夹空间占用，改善WINPE下兼容性
2011-04-26：1.1.6 完善usb光驱和软驱的冗余驱动记录清理功能（包含于USBSTOR相关设备驱动痕迹）
2011-04-22：1.1.5 尝试增强Win7下注册表项删除能力，解决某些机器出现的部分注册表项无法删除BUG，另增加DriveIcons记录清理。
2011-04-15：1.1.4 暂时屏蔽NextParentID记录删除功能，修复时间刷新BUG。
2011-04-12：1.1.3 修复了每次强制清理后，所有usb设备的建立时间都被刷新的BUG，同时改进USBFlags相关项的删除，并去除多个同型号U盘的重复项
2011-04-08：1.1.2 增加了NextParentID记录删除功能，并进一步精确了USBFlags的删除方式，只删除与U盘相关的USBFlags。
2011-04-03：1.1.1 为Win7系统增补了删除范围，修正了USBFlags的删除方式。
2011-03-28：1.1.0 修复在PE下使用RUNSCANER方式运行时获取本地硬盘签名错误BUG（严重）。
2011-03-28：1.0.9 修复清理{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下无驱动记录项被误删BUG；为USB光驱增加{1186654d-47b8-48b9-beb9-7df113ae3c67}项下相关记录清除。
2011-03-27：1.0.8 修复某些U盘厂家字符串中含有“%，!”等特殊字符时无法删除全部记录的BUG。
2011-03-27：1.0.7 修复程序初始化段，获取本地硬盘签名部分可能出现的问题，并增加权限判断；同时增加清理冗余MountPoints功能；增加清理USB软驱记录功能。
2011-03-26：1.0.6 完善了移动硬盘记录清理，已实现完整清理。同时修复DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}项下相关注册表项未能删除的BUG。
2010-12-26：1.0.5 更新了内置的setacl工具至2.1.3版，从而使本工具完全支持NT6.X操作系统（需管理员方式运行），并为Win7系统增补了搜索删除的范围。
2010-12-24：1.0.4 修复在win7下，在记事本中另存为文本文件或注册表文件时，会出现用户文件夹不可用的bug
2010-12-23：1.0.3 去除导出注册表项中的重复项；并少用find命令，优化了速度；同时支持删除大部分VISTA和win7的注册表项。
2010-12-21：1.0.2 为工具增加备份U盘相关注册表功能，同时去除用处不大的导出注册表清理文件功能。
2010-12-20：1.0.1 修复部分机器出现的鼠标点击操作无效的BUG
2010-12-19：发布1.0.0版

界面：

下载地址：

[ 本帖最后由 xmanweb 于 2012-11-1 23:22 编辑 ]

USBClear1.21Beta.zip

237.16 KB, 下载次数: 6363, 下载积分: 无忧币 -2

作者: zqywult 时间: 2010-12-19 21:18
不会把系统自带的USB驱动也清理掉吧？
不太敢用！

作者: xmanweb 时间: 2010-12-19 22:27
标题: 回复 #2 zqywult 的帖子
他清理的只是注册表中的驱动安装记录，不会删除驱动本身，只是让它看起来从来没有装过。

作者: zqywult 时间: 2010-12-20 16:11
我刚才试用了LZ的这个东东，还真不错！
我先用第三项导出一份，再用第二项清理，再用第一项查看，确实清理干净了，只是运行有些慢。我的USB鼠标未受影响，并且又插上U盘，系统重新安装新硬件....，U盘使用正常！

谢谢LZ的软件！我一直用USBDeview.exe（图形界面）清理USB设备，您这个比它清理的更干净！

一个问题：只清理U盘记录，USB移动硬盘的清理不？？

一个建议：我导出的reg文件都是 -HKEY_LOCAL_MACHINE\SYSTEM\..........开头的，这应该是卸载注册表项的吧？建议LZ修改一下，使每个注册表项前面的负号“--”去掉，这样导出的reg文件就是备份文件，万一有什么问题，双击即可恢复注册表！！

[ 本帖最后由 zqywult 于 2010-12-20 16:19 编辑 ]

作者: xmanweb 时间: 2010-12-20 21:23
@zqywult:非常感谢你的试用和反馈，关于问题一：这个工具清理的确切说是usb大容量存储设备的记录，usb移动硬盘也是，所以可以清理，此外类似的usb光驱记录也能清除。问题二：感谢你的建议，我刚才已经按照你说的功能实现了备份注册表的导出，因为今天没法电脑上网，新版本只有明天发了

作者: bgwhw 时间: 2010-12-21 00:10
不错的小东东，顶一下！

作者: xmanweb 时间: 2010-12-24 19:11
难道没有人用吗？我需要反馈啊。。。

作者: kevin95 时间: 2010-12-24 19:31
做成工具就好了.期待LZ改进

作者: xmanweb 时间: 2010-12-25 10:41
标题: 回复 #8 kevin95 的帖子
呵呵，现在没有经历去搞编程啊，这只是个批处理写的工具，性能的确不好，速度慢，但功能应该还是能满足需求的，以后有时间琢磨编程了会考虑做一个的。

作者: xmanweb 时间: 2010-12-26 21:37
标题: 哈哈，已经支持Win7咯
采用了最新版的setacl工具就能支持Win7的注册表删除了！

2.1.3版：

SetACL 2.1.3.zip (801.85 KB, 下载次数: 4147)

作者: 2010anweinuo 时间: 2011-1-8 15:24
看起来不错，试试

作者: sratlf 时间: 2011-1-9 16:52
支持一下很不错的工具

作者: xmanweb 时间: 2011-1-9 18:51
标题: 回复 #12 sratlf 的帖子
呵呵，竟然得到版主大大的肯定，开心！！

作者: 黑暗深处 时间: 2011-2-21 09:55
这个东西必须要支持，win7下能支持就很好了
不知道为什么运行速度这么慢？要是有可视化的操作界面，加上可选择的清理就会更加完美

作者: smdky 时间: 2011-2-21 11:36
以前数码之家出过一个护U使者，也是不错的

护U使者.rar

58.02 KB, 下载次数: 222, 下载积分: 无忧币 -2

作者: 2011simone 时间: 2011-2-22 17:33
标题: 不错，但我想知道？
这个东东的确不错，只是速度有点慢，但也可以！质量是第一位的。网上有类似的如：“UsbViewer_Ver3.3.rar”；“MyUSBHelper_Ver1.28.rar”，我没有要比谁优谁劣的意思，只是想知道谁清理的最彻底最安全！

作者: xmanweb 时间: 2011-2-22 20:12
标题: 回复 #14 黑暗深处的帖子
这个工具是我自己写的，主要是因为年底保*密*检*查之类的事情，某些计算机上不能出现u盘使用痕迹，因此我就写了一个批处理来干这件事情了。因为是批处理，运行时要反复调用好多命令行工具，速度自然比正常的软件程序要慢。我以后有精力研究编程了就会考虑做一个编译版的。呵呵

作者: xmanweb 时间: 2011-2-22 20:14
标题: 回复 #15 smdky 的帖子
恩，看起来不错，回去跟踪测试下。

作者: xmanweb 时间: 2011-2-22 20:18
标题: 回复 #16 2011simone 的帖子
我这个工具清理u盘记录应该是比较完整的，因为清理的项目是根据实际的跟踪测得的，清理后u盘插拔对系统注册表的所有变动项和新建项都会被删除。基本上可以确保是最干净的。但是目前这个工具在清理移动硬盘的记录时，还是没法清楚其掉mountpoints痕迹，u盘则不存在这个问题，这个问题我近期会考虑解决。

作者: bgwhw 时间: 2011-2-22 22:01
支持更新，很实用的小工具！

作者: blithewind 时间: 2011-2-23 01:44
好用,移动硬盘记录能清理掉就更好了

作者: 2011wekmo 时间: 2011-2-24 22:49
很好用，但在单位局域网里没有权限呀……

作者: xmanweb 时间: 2011-2-24 23:25
标题: 回复 #22 2011wekmo 的帖子
呵呵，这个嘛，你可以配合pe启动，使用runscanner这款软件，离线加载本地系统的注册表hive，然后再清理，结果是一样的
例如在我的pe里，就可以在WinPE.ini中添加这样的语句来调用，就可以在pe下清理硬盘系统的u盘记录了

LINK %Programs%\★清理工具★\U盘记录清理,%ExDir%\WinPE_TOOLS\RunScanner\RUNSCANNER.EXE,/t 0 /ac /cp /y %MyADrv%\清理工具\U盘记录清理\USBClear.exe,%MyADrv%\清理工具\U盘记录清理\USBClear.exe
REGI HKCU\Console\QuickEdit=#0

复制代码

其实就是第一句其实就是添加 “RUNSCANNER.EXE /t 0 /ac /cp /y USBClear.exe” 的快捷方式

不过因为pe下虚拟注册表后，QuickEdit键值会有问题，所以需要手动修改下，要不然没法鼠标点击菜单了。

作者: 2011simone 时间: 2011-3-3 23:49
标题: 非常期待
非常期待楼主抽点时间来完善这个版本！

作者: xmanweb 时间: 2011-3-4 19:48

原帖由 smdky 于 2011-2-21 11:36 发表
以前数码之家出过一个护U使者，也是不错的

前天测试了下，这个护U使者清楚u盘记录清理的只有'USB大容量存储设备“usbstor”驱动痕迹'，其余的都没有清理，对于严格的u盘记录测试，这种清理显然是不够的。

作者: xmanweb 时间: 2011-3-4 19:57

原帖由 blithewind 于 2011-2-23 01:44 发表
好用,移动硬盘记录能清理掉就更好了

移动硬盘的记录时可以清理的，只是移动硬盘唯独有一项“MountPoints记录”无法清理，这两天通过测试，发现是因为移动硬盘的盘符是”fixed"（固定磁盘）类型，所以在加载点MountPoints里他的记录特征显示的就不是“可移动磁盘盘符”的特征，而是和普通内置硬盘一致，所以没法清理。
而且即使被检查工具查出系统曾经加载过这些未知盘符，那么谁也无法分辨这些盘符是移动硬盘的还是曾经装在机箱内部的硬盘的。
所以从逻辑上讲，这个u盘记录清理工具功能是完善的。

作者: 123help 时间: 2011-3-19 15:24
由于U盘口用过许多不同u盘，有个插口已不能再即插即认。经清理后，此插口的即插即认功能又恢复了。

作者: junyu 时间: 2011-3-19 16:37
正需要这个东西，谢楼主。

作者: 2010msmki 时间: 2011-3-24 08:45
标题: 回复 #1 xmanweb 的帖子
呵呵，好东西啊，下载分享

作者: xmanweb 时间: 2011-3-26 17:30
已经支持完整清楚移动硬盘记录了，大家帮忙测试啊！！

作者: 快雪时晴 时间: 2011-3-26 19:01
一直在寻觅这类工具，maybe this one

多谢分享

作者: freesoft00 时间: 2011-3-26 20:42
其实上一个版本我就想测试来着，可是一忙就忘了。
抽时间测试下。
主要是不想在我的本机测试，得找台公用的随便测试了。

作者: xmanweb 时间: 2011-3-27 12:51
发现硬盘签名获取部分有点小问题，已修复，下午发1.0.7

作者: xmanweb 时间: 2011-3-27 18:21
呵呵，一天内出了两个版本，我太不淡定了。。。

作者: xmanweb 时间: 2011-3-27 18:23
@freesoft00：欢迎测试！你可以采用regshot的方式来对比清理记录的效果

作者: Pauly 时间: 2011-3-27 23:42
现在的保密检查软件基本上都是基于扇区扫描的，注册表里清除了仍然可以搜索到，有时候清理注册表后再用 regdefrag 也不能完全清除

可靠的方法是清理注册表之后再用 WINHEX 手动搜索去清除，就是麻烦点

作者: xmanweb 时间: 2011-3-28 00:01
哦，注册表项删除后实际HIV里还有哦？这个真麻烦了，清理后用REGWORKSHOP直接导出成HIV然后替换，不相当于固实整理了么，最后用ERASER清理空余空间就能抹去历史记录了吧

作者: freesoft00 时间: 2011-3-28 02:12
清理空闲空间太费时间了。
如果可以精确到扇区部分然后把它抹掉就好了。
测试了一下，然后在注册表中搜索了一下，不知到下面的是不是残留的项目，这个我不确定，我有一个手机，上面有软件可以模拟存储卡为U盘，看着象那个的信息，不知道是不是。
另外，因为没有usb打印机，usb摄像头等其它usb设备，不知道有没有误删的问题。

作者: 快雪时晴 时间: 2011-3-28 09:08
看来得搞到保密检查软件，看它怎么搞，就怎么删除，这样才行，
完全winhex手工操作太慢，说不定还把机子搞崩溃

作者: xmanweb 时间: 2011-3-28 12:57
标题: 回复 #38 freesoft00 的帖子
这是因为你没有使用强制清理模式，只用使用强制清理模式，在class项下的冗余驱动记录才会被删掉。
另外我这个是批处理写的小程序，对于扇区神马的感觉无能为力啊，呵呵

作者: freesoft00 时间: 2011-3-28 14:22
我知道对扇区无能为力。
我只是说Pauly 说的那个情况，如果他能开发个软件就好了。
不过谢谢你的小程序。

作者: 2011kj 时间: 2011-3-31 17:19
今天试用了楼主的软件,也按照你说的方法完全试了一遍,目前正在擦除C盘未使用的空间中,上来冒一下!希望能行~

擦完了,不行,还是被检查出来了,再试一次

[ 本帖最后由 2011kj 于 2011-3-31 18:18 编辑 ]

作者: 快雪时晴 时间: 2011-3-31 19:07
更新了，谢谢

作者: xmanweb 时间: 2011-4-4 15:47
虽然保密检查时计算机不一定让使用Win7，但是也尽量完善Win7的记录清除功能吧

作者: xmanweb 时间: 2011-4-9 11:05
通过完善NextParentID和USBFlags记录的删除，现在在安全删除模式下，可以保证在XP和03下删的100%干净了，同时还不会多删其他项，实现真正的精准删除。

作者: xiaoj1972 时间: 2011-4-12 12:20
LZ更新一下您的X-PE吧谢谢

作者: 2011027 时间: 2011-4-12 15:16
标题: 为什么我的win7使用有问题？
为什么我的win7使用时，出现了很多清理项失败，提示在注册表中手动清理！？

作者: xmanweb 时间: 2011-4-12 22:29
标题: 回复 #47 2011027 的帖子
额，按说用管理员方式启动应该清理起来没有问题啊，要不你把请不了的失败记录截个图发上来我瞧瞧吧？

作者: xmanweb 时间: 2011-4-12 22:29
标题: 回复 #46 xiaoj1972 的帖子
哈哈，最近保密检查，一直抽不开身，不好意思啊，稍等啊！

作者: xmanweb 时间: 2011-4-14 21:55
标题: 这下功能更完整了
修复了每次强制清理后，所有usb设备的建立时间都被刷新的BUG，同时改进USBFlags相关项的删除，并去除多个同型号U盘的重复项

作者: bgwhw 时间: 2011-4-15 00:09
有更新，再顶一下。谢谢！

作者: xmanweb 时间: 2011-4-16 11:23
哎，没办法，采取折中的办法吧，等到找到不需要修改权限就能越权删除注册表项（例如RegWorkShop就是这样）的方法后，再把删除NextParentID的功能加上！

另外近期通过测试“猎隼”保密检查软件，发现其检查u盘记录的机制很不完善，竟然认为本地硬盘的卷记录也是移动存储介质的记录！！所以大家用本工具清除记录后，如果用其测试还发现有残余，请不要理会，这些残余是系统的正常内置硬盘相关项，无论去哪台机器上测试都会有的。

作者: 2011Guest 时间: 2011-4-18 13:57
不错的小东东，顶一下！

作者: 2011nicmaters 时间: 2011-4-21 16:42
急需............

作者: xmanweb 时间: 2011-4-27 12:17
这下基本上usb移动硬盘、usb光驱、usb软驱、普通u盘的冗余驱动记录都能实现完整的删除了。

作者: 2010msmki 时间: 2011-4-27 14:08
呵呵，顶下，真的好用

作者: 快雪时晴 时间: 2011-4-27 23:32
更新，跟进
这是迄今u盘使用记录清理最彻底的工具了

作者: 2010anweinuo 时间: 2011-5-20 17:22
很不错的工具，用它可以把usb存储设备的记录清理得很干净

作者: xmanweb 时间: 2011-6-17 22:03
标题: 季度检查又要来了，特地更新下
马上一个季度又要过去了，BM检查又要来了，特地更新下本工具，呵呵

上季度居朋友反馈，说检查后因为太干净而被指责造价。。

作者: xmanweb 时间: 2011-6-17 22:15

原帖由 2011027 于 2011-4-12 15:16 发表
为什么我的win7使用时，出现了很多清理项失败，提示在注册表中手动清理！？

用现在最新的版本试试还有没有

作者: 快雪时晴 时间: 2011-6-18 09:26
标题: 回复 #1 xmanweb 的帖子
更新至1.7，谢谢。

作者: sdh2008 时间: 2011-6-25 23:41
注册表中的被删除了，请问：SETUPAPI.log文件内的相关记录也删除了吗

作者: xmanweb 时间: 2011-6-26 16:11
@sdh2008:setupapi.log文件会被直接删除

作者: 2011jiukankan 时间: 2011-6-27 17:59
我专门为此贴而注册。
不得不佩服楼主，这个工具相当强大，比我试过的网上所有清理工具都强大。

作者: xmanweb 时间: 2011-6-28 12:59
标题: 回复 #64 2011jiukankan 的帖子
呵呵，谢谢，我还只是个菜鸟而已，坛子里高手如云，大家一起共同学习吧

作者: 2011chun0402 时间: 2011-8-11 00:08
楼主！同样应付检查的在此谢过了，但愿无毒啊~~~~~~~~~~

作者: finest 时间: 2011-8-28 16:10
下来收藏下！！
看看效果如何

作者: 2011xiaren2 时间: 2011-9-14 07:26
这个确实不错，但我清理后在注册表中海能发现有残留

作者: xmanweb 时间: 2011-9-15 21:03
标题: 回复 #68 2011xiaren2 的帖子
请举出残留项目好么？

作者: freesoft00 时间: 2011-9-15 21:55
上面的朋友反馈就说清楚点，比如什么系统，残留的什么项目，有什么安全类的软件等。

作者: tomyao 时间: 2011-10-9 12:20
感谢楼主！<br />这样一个免费的工具，解除了压在我们广大群众心头的多大的压力啊！<br />用深_圳_金_诚的工具已经查不出记录了。

才发现自己是07年的ID，今天第一次发炎.......

[ 本帖最后由 tomyao 于 2011-10-9 12:22 编辑 ]

作者: 快雪时晴 时间: 2011-10-9 14:38
冷不丁更新了1个月有余才发现，老铁还得顶起来

作者: 2011djun161 时间: 2011-10-13 13:49
标题: 可选删除记录功能
如题就可以解决因为太干净了，反而被则罚的问题。急需这样的功能。看了楼主的这个软件的成长过程，是一个不错的软件，功能挺强，看评论删除也很彻底。同时也是彻底的干净的让人认为明显不真实了。

[ 本帖最后由 2011djun161 于 2011-10-13 13:51 编辑 ]

作者: xmanweb 时间: 2011-12-31 18:26
最近工作太忙，好久没来论坛了，更了个新~

作者: yesfei 时间: 2012-1-1 16:21
标题: 回复 #74 xmanweb 的帖子
你那个合盘不错，该跟新一下吧。。。

作者: daisuki 时间: 2012-1-9 12:09
没想到今天这工具帮了大忙啊,感谢楼主

作者: xmanweb 时间: 2012-3-29 21:34
汗啊。。。失误更新，大家我想死你们了。。。PE好久没弄了，都不知道还能不能捡起来，呵呵，我会努力的

作者: freesoft00 时间: 2012-3-29 23:13
感谢更新，删除的比较彻底。

作者: flyingsand 时间: 2012-4-8 13:58
标题: 回复 #1 xmanweb 的帖子
有时无线鼠标会莫名其妙的失效，不知是不是驱动的问题，重新拔插、设备管理器中删也不一定能行，lz能不能做个类似的工具

作者: maoer8783 时间: 2012-4-18 22:09
楼主能否把命令贴出来。

作者: xmanweb 时间: 2012-4-20 13:09
标题: 回复 #80 maoer8783 的帖子
额，你用winrar或者7zip软件解压usbclear.exe文件就能得到了

作者: maoer8783 时间: 2012-4-27 19:43
谢谢学习了!!!楼主真是厉害啊!!!

作者: maoer8783 时间: 2012-5-5 14:10
测试了一下，usb 痕迹不能完全清楚掉！！

作者: 20121733413480 时间: 2012-5-5 20:22
楼主很有才，谢谢提供分享。

作者: xmanweb 时间: 2012-5-7 22:38
标题: 回复 #83 maoer8783 的帖子
谢谢反馈，请给出未清理到的位置

作者: maoer8783 时间: 2012-5-13 14:07
我使用 PE进入系统，通过 RUNSCANNER ＋ USBClear 采用强制模式后，再通过 eraser 清除空闲空间后，使用专用BM 检查工具进行深度检查，结果还是报有 U 盘的使用记录，但没有具体的路径和位置。而且检查出的U盘型号刚好是我使用的型号。
没有完全按照楼主提示的 1、2、3、4步骤进行清理，因为太耗时间了，估计按照1234操作后，使用专用BM 检查工具就检查不出来了。但是我重装系统后使用专用BM 检查工具就检查不出来，由此可以看出专用BM 检查工具进行深度检查时仍然不是按照扇区搜索的方式进行的。

作者: maoer8783 时间: 2012-5-13 14:23
等有空，再进一使用专用工具进行研究后提供情况，以便楼主完善。

作者: maoer8783 时间: 2012-5-14 21:53
今天ghost了一下系统进行了测试，结果仍然不太理想，不能完全清除U记录。

[ 本帖最后由 maoer8783 于 2012-5-14 22:02 编辑 ]

作者: xmanweb 时间: 2012-5-15 00:38
标题: 回复 #88 maoer8783 的帖子
根据你的描述，可以断定你是用的工具的所谓深度检测并非对扇区进行扫描来检测的，即使使用了我介绍的1、2、3、4步骤也没有用处
之所以你手动删除掉后，依然能查出，是因为每个\Enum\USB的项还会对应许多\Control\DeviceClasses\项，这些项就会包含你的u盘信息了。你可以插入一个u盘然后再用本工具删掉，看看列出的删除范围你就能知道一般一个u盘对应的是那些注册表项了。

根据你发的图片来看，我未能看到你这个Vid_2001&Pid_2008的设备的CompatibleIDs，如果根据该ID，即可判断我的工具是否存在漏判的问题，现在，此USBClear工具是用的是判定CompatibleIDs的方式来清理“USB存储设备”的，他们的ID如果包含“USB\Class_08”字样，则一定会被判定为usb移动存储设备，不知你这Oti设备的CompatibleIDs是多少。如果不是Class_08请告诉我。

当然，还有种可能，这个问题是由REG.exe文件的BUG造成的
REG.exe在请求注册表内容的时候，有时会遇到错误而无法列出全部内容，比如你这个就很可能是这个问题。你可以在cmd下手动用“REG.exe query 该项”来看看着个项目的值能否列出。如果不能，则本工具就不能判断出他是否是usb移动存储设备了。REG.exe的这个bug其实很常见。要避免这个问题我就只有重新编写程序，编译一个自主reg访问功能的程序才行了。如果那样我就会做一个成熟的、图形界面化的、可选择删除的应用程序了。不过我的水平还很有限，许多核心功能还无法实现。

作者: maoer8783 时间: 2012-5-16 19:55
看了楼主的解释，我再次再PE环境下试了，同时，再次反复采用手动搜索“包含“USB\Class_08”字样”并清理，然后再用工具查找，还是能够找出记录！！

建议楼主还是删除注册表所有与USB有关的项目，包括USB鼠标，键盘的记录，原因如下：1、真正对保密要求高的，会对电脑USB和其它输出接口作物理切除断开，并把机箱焊死。2、就算把USB鼠标键盘的键值删除掉，重启系统后，系统会再次安装，这样并不影响usb鼠标键盘的使用。同时留在注册表的USB记录也是合法的记录。3、既然有保密要求的电脑没有物理切掉USB，难免就会有人忍不住插其它usb设备，比如对手机充电，U盘等。所以建议彻底清除注册表的USB记录，根据使用人需要自行让系统安装合法的USB设备。

[ 本帖最后由 maoer8783 于 2012-5-16 20:09 编辑 ]

作者: 快雪时晴 时间: 2012-5-16 22:17
这个一直有收藏，绝对实力+实用软件

作者: xmanweb 时间: 2012-5-16 23:47
标题: 回复 #90 maoer8783 的帖子
谢谢你的认真截图反馈，你没明白我说的“USB\Class_08”字样的意思，如果USBClear探测到兼容ID为“USB\Class_08”字样的设备，会设法删除所有与其相关的注册表记录。你仅仅手动搜索删除“USB\Class_08”是没用的。

对于你提出的几条原因，我可以给与回答，清除所有与usb有关的项目之所以不可行是因为：
1、许多usb设备如打印机、用户key强行删除后会不在可用，必须重新安装驱动，严重影响工作。
2、如果你强行删除所有usb记录后重新识别后，设备的首次插入日期会变为现在，一下就暴露了为了逃避检查而恶意清理的问题。
另为了避免你提到的人忍不住插入usb设备的情况，只需用贴纸封住并张贴明显标示即可。

有几个问题还需要你回答下：
1，你用USBclear强制清理后，仍然会有“USB\Class_08”字样的设备么？！看你的描述应该是还有啊，如果按照不出BUG的情况下，用USBClear清理过后，是不会再有“USB\Class_08”字样的设备了！
2、你的检测工具是在u盘上！？
3、下次你展示检查结果截图的时候，能否展开检查得到的几项内容。我需要分析其中的内容。根据上次我分析一款工具的情况，其检查出的几项记录，根本就不是usb存储设备记录，而是本机硬盘的卷记录。
4、如果方便，请加我Q524060165

作者: xmanweb 时间: 2012-5-17 10:04
标题: 回复 #90 maoer8783 的帖子
昨晚骑车回去的时候，突然闪念一想，对比你给出的第二次的截图，我分析此工具的“深度搜索”办法，很可能是直接读取system配置单元文件，强行按照文本搜索的方式检测的。对于这种办法，你需要在清理后，用我提供的步骤2、3，压缩system配置单元文件，移除已删除的内容。

作者: maoer8783 时间: 2012-5-17 19:59
标题: 回复 #93 xmanweb 的帖子
谢谢楼主这么热心的解答。
这次再PE下，使用清理工具多次清除后的检查的截图，判处 reg.exe失效

按照楼主所说，导出system后重新加载，这个我在之前曾经试过，效果仍然不好。我也试过，只要重装系统，U盘记录就没有了，说明这个工具的检查力度并不强，仅仅是搜索注册表和与之有关的配置文件，

[ 本帖最后由 maoer8783 于 2012-5-17 20:05 编辑 ]

作者: xmanweb 时间: 2012-5-17 22:35
标题: 回复 #94 maoer8783 的帖子
通过看你发来的截图，这几个的确是u盘记录。而在每个“注册位置”的最后几个的“}”后面总有些奇怪字符，这说明他这个工具的检测机制是来源于“关键字搜索”的。具体他是如何访问独占的SYSTEM配置文件我不得而知，反正这个“深度搜索”明显是类似于数据恢复的搜索了。

还有几个问题需要问你：
1、请问他这个工具在深度搜索时候，使用的时间大概要多久？
2、你判处reg.exe失效的方法是采用“reg query无法列出尚存项目”的方法么？
3、你在压缩导出SYSTEM配置文件后，在替换原有的SYSTEM配置文件之前，有没有将原有SYSTEM配置文件的和它的日志文件用Eraser粉碎呢？

作者: maoer8783 时间: 2012-5-18 06:50
因有事需出差，可能没有时间再次测试，故一早回复。
看了你的帖子，根据搜索的时间看，这个“深度搜索”的确是类似于数据恢复的搜索，一般搜索一次需要将近1个半小时。
我也是看了你的帖子说reg.exe有失效，故反复使用几次你的工具，或者重新进PE，再次使用，然后再看导出有没有记录，却是没有了，估计就没有失效。
压缩导出SYSTEM配置文件后，原有的system 以及system.log肯定是用Eraser粉碎的，只是由于时间关系，没有对空余空间填充，因为这个填充很慢，曾经试过30G的分区，就半天。
当然如果却是严格按照你介绍的1234的步骤方法来清理，估计会完全清除U记录，但是这样来看，效率就很慢了，估计一台电脑就需要2～3天，而且，再用 Eraser填充时，不能保证把上网记录会清掉，
有时间试一次用你的工具清除后，按照你工具的原理，再手动清除注册表以及系统残余信息，看行不。
或者严格按照你介绍的1234的步骤方法来清者理。

作者: xmanweb 时间: 2012-5-18 09:34
标题: 回复 #94 maoer8783 的帖子
谢谢你的反馈，看来是数据恢复型的深度搜索，推荐你使用eraser5.8来清理，覆盖速度约60MB每秒，对于XP系统，可以不整理磁盘直接覆盖C盘，应该满足你的速度要求，能在一小时内完成。关于清理上网记录的问题，这个咱可以再交流，具体步骤和这个1234类似，并可以与u盘记录清理一并处理，就比较省时间了，毕竟清理是件很困难且有很大风险的事情啊

作者: xmanweb 时间: 2012-5-21 23:22
刚才我做了和测试，发现要避免“usbstor#”字样内容在硬盘上出现，除了我说的1234步骤外，在清理虚拟内存文件时，最好一并清理掉临时文件，因为usbclear导出的结果文件就包含关键词。。我细致清理后，用16进制软件搜索硬盘内容，发现已经无法找到关键字了

作者: maoer8783 时间: 2012-5-31 20:28
试了几次，结果始终不太理想，今天毛了，在使用楼主的工具一次后，直接调出注册表，手动查找并删除包含“usbstor”字样，然后再用 Eraser填充一遍，再次用工具进行检查，结果非常理想，再也没有usb记录痕迹了。由此看来，楼主的工具还是要以包含‘USB’字样全部进行删除，而且还要注意注册表有些键值因为权限问题而不能删除。

作者: xmanweb 时间: 2012-6-2 22:59
标题: 回复 #99 maoer8783 的帖子
你的这个工具的深度检测，我分析，实际上是搜索“HKLM\controlsetXXX\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"项下产生的既包含u盘品牌又包含u盘型号的项，而这些项在被删除后，如果不对注册表HIV进行压缩，这些项目还是会以明文存在在硬盘上的，所以，只要压缩好了HIV并清理掉虚拟内存和剩余空间，就不会再有{53f56307-b6bf-11d0-94f2-00a0c91efb8b}相关痕迹了。

欢迎光临无忧启动论坛 (http://wuyou.net/)