【20121013】USBClear v1.2.1 Beta-U盘记录清理工具 By X（可完整清理移动硬盘记录）

快雪时晴

这个一直有收藏，绝对实力+实用软件

xmanweb

谢谢你的认真截图反馈，你没明白我说的“USB\Class_08”字样的意思，如果USBClear探测到兼容ID为“USB\Class_08”字样的设备，会设法删除所有与其相关的注册表记录。你仅仅手动搜索删除“USB\Class_08”是没用的。

对于你提出的几条原因，我可以给与回答，清除所有与usb有关的项目之所以不可行是因为：
1、许多usb设备如打印机、用户key强行删除后会不在可用，必须重新安装驱动，严重影响工作。
2、如果你强行删除所有usb记录后重新识别后，设备的首次插入日期会变为现在，一下就暴露了为了逃避检查而恶意清理的问题。
另为了避免你提到的人忍不住插入usb设备的情况，只需用贴纸封住并张贴明显标示即可。

有几个问题还需要你回答下：
1，你用USBclear强制清理后，仍然会有“USB\Class_08”字样的设备么？！看你的描述应该是还有啊，如果按照不出BUG的情况下，用USBClear清理过后，是不会再有“USB\Class_08”字样的设备了！
2、你的检测工具是在u盘上！？
3、下次你展示检查结果截图的时候，能否展开检查得到的几项内容。我需要分析其中的内容。根据上次我分析一款工具的情况，其检查出的几项记录，根本就不是usb存储设备记录，而是本机硬盘的卷记录。
4、如果方便，请加我Q524060165

xmanweb

昨晚骑车回去的时候，突然闪念一想，对比你给出的第二次的截图，我分析此工具的“深度搜索”办法，很可能是直接读取system配置单元文件，强行按照文本搜索的方式检测的。对于这种办法，你需要在清理后，用我提供的步骤2、3，压缩system配置单元文件，移除已删除的内容。

maoer8783

谢谢楼主这么热心的解答。
这次再PE下，使用清理工具多次清除后的检查的截图，判处 reg.exe失效


按照楼主所说，导出system后重新加载，这个我在之前曾经试过，效果仍然不好。我也试过，只要重装系统，U盘记录就没有了，说明这个工具的检查力度并不强，仅仅是搜索注册表和与之有关的配置文件，

[ 本帖最后由 maoer8783 于 2012-5-17 20:05 编辑 ]

xmanweb

通过看你发来的截图，这几个的确是u盘记录。而在每个“注册位置”的最后几个的“}”后面总有些奇怪字符，这说明他这个工具的检测机制是来源于“关键字搜索”的。具体他是如何访问独占的SYSTEM配置文件我不得而知，反正这个“深度搜索”明显是类似于数据恢复的搜索了。

还有几个问题需要问你：
1、请问他这个工具在深度搜索时候，使用的时间大概要多久？
2、你判处reg.exe失效的方法是采用“reg query无法列出尚存项目”的方法么？
3、你在压缩导出SYSTEM配置文件后，在替换原有的SYSTEM配置文件之前，有没有将原有SYSTEM配置文件的和它的日志文件用Eraser粉碎呢？

maoer8783

因有事需出差，可能没有时间再次测试，故一早回复。
看了你的帖子，根据搜索的时间看，这个“深度搜索”的确是类似于数据恢复的搜索，一般搜索一次需要将近1个半小时。
我也是看了你的帖子说reg.exe有失效，故反复使用几次你的工具，或者重新进PE，再次使用，然后再看导出有没有记录，却是没有了，估计就没有失效。
压缩导出SYSTEM配置文件后，原有的system 以及system.log肯定是用Eraser粉碎的，只是由于时间关系，没有对空余空间填充，因为这个填充很慢，曾经试过30G的分区，就半天。
当然如果却是严格按照你介绍的1234的步骤方法来清理，估计会完全清除U记录，但是这样来看，效率就很慢了，估计一台电脑就需要2～3天，而且，再用 Eraser填充时，不能保证把上网记录会清掉，
有时间试一次用你的工具清除后，按照你工具的原理，再手动清除注册表以及系统残余信息，看行不。
或者严格按照你介绍的1234的步骤方法来清者理。

xmanweb

谢谢你的反馈，看来是数据恢复型的深度搜索，推荐你使用eraser5.8来清理，覆盖速度约60MB每秒，对于XP系统，可以不整理磁盘直接覆盖C盘，应该满足你的速度要求，能在一小时内完成。关于清理上网记录的问题，这个咱可以再交流，具体步骤和这个1234类似，并可以与u盘记录清理一并处理，就比较省时间了，毕竟清理是件很困难且有很大风险的事情啊

xmanweb

刚才我做了和测试，发现要避免“usbstor#”字样内容在硬盘上出现，除了我说的1234步骤外，在清理虚拟内存文件时，最好一并清理掉临时文件，因为usbclear导出的结果文件就包含关键词。。我细致清理后，用16进制软件搜索硬盘内容，发现已经无法找到关键字了

maoer8783

试了几次，结果始终不太理想，今天毛了，在使用楼主的工具一次后，直接调出注册表，手动查找并删除包含“usbstor”字样，然后再用 Eraser填充一遍，再次用工具进行检查，结果非常理想，再也没有usb记录痕迹了。由此看来，楼主的工具还是要以包含‘USB’字样全部进行删除，而且还要注意注册表有些键值因为权限问题而不能删除。

xmanweb

你的这个工具的深度检测，我分析，实际上是搜索“HKLM\controlsetXXX\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"项下产生的既包含u盘品牌又包含u盘型号的项，而这些项在被删除后，如果不对注册表HIV进行压缩，这些项目还是会以明文存在在硬盘上的，所以，只要压缩好了HIV并清理掉虚拟内存和剩余空间，就不会再有{53f56307-b6bf-11d0-94f2-00a0c91efb8b}相关痕迹了。

mydata

感谢楼主提供的好东西。不过用网上免费的”RG涉密信息自检查工具“中的“深度USB设备接入痕迹“检查还是会发现U盘接入痕迹！希望楼主持续改进！谢谢！

极度凶残

晕！竟然有这么好的东西不知道，立马收下，谢谢分享，楼主啥时也弄个网卡记录清除工具吧，有些机跑出本地连接1、本地连接2、本地连接3、本地连接4.....这些垃圾出来

xmanweb

请使用帖子下方提供的深度处理方式，以应对深度检测

懒觉

看来偷偷摸摸做点事情不容易啊。。。

happy2

看起来步骤不少，效果不错
只是从重装的时间来看，还是重装快了

xmanweb

重装只能从一定概率上覆盖掉记录。硬盘上碎片比较多的话，例如pagefile.sys文件里就直接由明文的u盘相关数据写在分区的各个角落里，而且无法覆盖。。。所以必须离线系统进行删除覆盖清理

xmanweb

更新了，大家看看吧！

2012wszq1233

原帖由 xmanweb 于 2010-12-19 17:01 发表
声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员 ...

首先衷心感谢楼主的无私奉献，一次次的升级，给我们提供这样一款很强的免费软件。
同时强烈建议楼主增加直接删除扇区USB记录的功能（虽然楼主也提供了方法，但是对我们这些菜鸟来说确实操作起来很困难），而且发现用楼主提供的方法后用下面这款软件依旧可以查到USB记录，还期待楼主的更新。。。
http://rmbgold.com/

2012wszq1233

首先衷心感谢楼主的无私奉献，一次次的升级，给我们提供这样一款很强的免费软件。

同时强烈建议楼主增加直接删除扇区USB记录的功能（虽然楼主也提供了方法，但是对我们这些菜鸟来说确实操作起来很困难），而且发现用楼主提供的方法后用下面这款软件依旧可以查到USB记录，还期待楼主的更新。。。

http://rmbgold.com/

2012wszq1233

原帖由 xmanweb 于 2010-12-19 17:01 发表
声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员 ...

首先衷心感谢楼主的无私奉献，一次次的升级，给我们提供这样一款很强的免费软件。
同时强烈建议楼主增加直接删除扇区USB记录的功能（虽然楼主也提供了方法，但是对我们这些菜鸟来说确实操作起来很困难），而且发现用楼主提供的方法后用下面这款软件依旧可以查到USB记录，还期待楼主的更新。。。
http://rmbgold.com/

xmanweb

之所以今天更新深度清理的说明，就是因为有了RG这款工具的检测，才使我知道了更多的u盘记录存在位置，请你严格按照今天我给出的新版清除方法再试试，每一步都不能少，顺序也不能错，要删除所有列出的文件和文件夹，少删任何一个都可能导致记录清除不干净。
至于直接删除扇区记录的问题，这个不在我的能力范围之内，清理记录是件危险且繁琐的事情，有时还会带来法律法规上的责任问题，所以本工具只提供一个方法，是供大家学习的，有什么不完善的地方大家共同讨论完善吧。

2012wszq1233

原帖由 xmanweb 于 2012-10-14 20:27 发表
之所以今天更新深度清理的说明，就是因为有了RG这款工具的检测，才使我知道了更多的u盘记录存在位置，请你严格按照今天我给出的新版清除方法再试试，每一步都不能少，顺序也不能错，要删除所有列出的文件和文件 ...

我按照楼主所说的步骤进行操作时，到了第二步就操作不下去了，可能是因为我理解不清的，因此想询问一下：
第二步“.....加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下的一个子项......”我进入“加载配置单元”也选择了“SYSTEM文件”后出现一个“加载配置单元”的窗口，其中鼠标停留在了“项名”下面出现了单项选择的“加载位置”（分别为HKEY_LOCAL_MACHINE 和HKEY_USERS两项）就不会操作了。并没有出现楼主所说的“加载为HKLM下的一个子项”。。。。。。

第三步“使用ERASER软件，擦除SYSTEM和相关的LOG文件”：
这里所指的SYSTEM是哪个文件或文件夹（必竟这是系统文件，怕搞错了系统就崩溃了）？“相关的LOG文件”是指什么文件（是不是系统盘里的所有log文件还是只是某一个文件夹里的log文件）？

第四步里楼主提供的一些文件夹

xmanweb

原帖由 2012wszq1233 于 2012-10-15 21:45 发表 我按照楼主所说的步骤进行操作时，到了第二步就操作不下去了，可能是因为我理解不清的，因此想询问一下：第二步“.....加载配置单元—>待清理系统盘：\Windows\system32\config\SYSTEM文件，加载为HKLM下 ...

第二步，挂载为HKLM下一子项，就是要选择HKEY_LOCAL_MACHINE，然后随意输入一个项名，比如“S”，然后你就可以在注册表里看到 HKEY_LOCAL_MACHINE下有一个名为S的子项了。
第三步的SYSTEM文件就是指 ：\Windows\system32\config\SYSTEM，相关log文件就是指 \Windows\system32\config\目录下的后缀名为log的文件。
第四步有些文件或文件夹不存在就不用管了，不同系统有不同文件布局

[ 本帖最后由 xmanweb 于 2012-10-15 22:14 编辑 ]

1564335

强烈支持  下载留名啦

2012wszq1233

原帖由 <i>xmanweb</i> 于 2012-10-15 22:10 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=2583385&ptid=183625" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a><br />

<br />
第二步，挂载为HKLM下一子项，就是要选择HKEY_LOCAL_MACHINE，然后随意输入一个项名，比如“S”，然后你就可以在注册表里看到 HKEY_LOCAL_MACHINE下有一个名为S的子项了。<br />
第三步的SYSTEM文件就是指 ：\Wind ...

<br />
用defrag2008进行整理是选＂合并＂还是＂自动＂呀？

2012wszq1233

另外用winhex直接找关键字可以清理干净吗？

xmanweb

巩固磁盘整理，用winhex这个风险太大，系统可能会崩溃的，再说了，关键字多了去了，你找不过来

2012wszq1233

原帖由 xmanweb 于 2010-12-19 17:01 发表
声明：本工具只为广大网友测试学习使用，由于使用本工具不当造成的各种损失责任均由使用者承担。


这两天根据临时需要，用批处理写了个U盘记录清理工具，目前已完全支持NT5.X和NT6.X操作系统。使用“管理员 ...

经过多台机子的测试，此工具确实有效果，但是还是有1个记录不能清除。

说明一下我的操作过程：我是按照楼主的方法一步一步进行操作的，其中第二步、第三步和第四步的“删除文件”步骤均是在PE系统下操作的。其中步骤是在windows XP3下操作的。。但是在进行第五步操作使用“WINPM9”对MFT进行压缩时，提示了一堆英文，大概意思是需要重启系统才能运行此软件进行压缩，但是重启后，还是同样的提示，因此只有第五步操作失败，其它操作正常。

以上是我操作的过程，有1个记录不能清除不知是否与第五步操作有关？（个人认为这一步应该影响不大）

xmanweb

原帖由 2012wszq1233 于 2012-10-30 20:25 发表




经过多台机子的测试，此工具确实有效果，但是还是有1个记录不能清除。

说明一下我的操作过程：我是按照楼主的方法一步一步进行操作的，其中第二步、第三步和第四步的“删除文件”步骤均是在PE系统下操作 ...

请用扫描软件观察记录出现位置，比如大约650到700兆的位置，打开磁盘整理软件，找到相应区间位置查看该位置有无空余空间，如果没有空余空间，有哪些文件，分析这些文件那些可能存有记录，然后清除该文件，再试，请将测试结果发给我

2012wszq1233

原帖由 xmanweb 于 2012-10-30 23:58 发表

请用扫描软件观察记录出现位置，比如大约650到700兆的位置，打开磁盘整理软件，找到相应区间位置查看该位置有无空余空间，如果没有空余空间，有哪些文件，分析这些文件那些可能存有记录，然后清除该文件，再试 ...

你能否推荐一款可以显示文件位于磁盘哪个区间位置的“磁盘整理软件”呀？XP系统自带的磁盘整理好像不具备此项功能。