Смотрим плавность хода с помощью BMW Rheingold

Всем знакома ситуация, когда двигатель немного "троит", но пропусков зажигания нет...

Дельта-синхронизация крипто-дисков

Существуют разные способы зашифровать "облако". Один из них - поместить в облако крипто-диск. В предыдущей статье мы писали, почему это не всегда удобно.

Облачный хостинг VDS за 2 минуты

Настоящий облачный VDS-хостинг от UltraVDS: тестируем производительность

Дельта синхронизация без облака

Ранее мы показывали разные способы синхронизации криптодиска между ПК и Android-устройством.

Заметаем следы


Автор: Денис Колисниченко

Совсем недавно в "Хакере" писалось о сокрытии следов при закачке торрентов и как скрыться от продвинутой слежки. В этой статье речь пойдет о более "приземленном" - как скрыть свои следы при работе в Win 7 и 10. Статья - не ноу-хау, все, что описано в ней тебе знакомо. Смотри на нее как на некий список TODO - чтобы ничего не забыть при очистке компьютера перед всевозможными проверками.

1. Очистка списков недавних мест и программ

Обе операционки - семерка и десятка - предательски следят за тобой и готовы по первому требованию предоставить всю необходимую информацию. Мы же разберемся, как эту информацию почистить. Начнем со списков недавних мест и программ. Список недавних (в десятке - часто используемых) программ хранится в главном меню (рис. 1), а список недавних мест - в проводнике (рис. 2).

Список часто используемых программ в Windows 7 и 10
Рис. 1. Список часто используемых программ в Windows 7 и 10

Список часто используемых папок и последних файлов
Рис. 2. Список часто используемых папок и последних файлов

Как отключить это безобразие? В семерке нужно щелкнуть правой кнопкой мыши на кнопке Пуск и выбрать команду "Свойства". В появившемся окне, как ты уже догадался (рис. 3), нужно отключить оба переключателя.

Отключаем хранение списка последних программ в Win7
Рис. 3. Отключаем хранение списка последних программ в Win7

Чтобы удалить список последних мест и документов, нужно удалить содержимое каталога %appdata%\Microsoft\Windows\Recent:

cd %appdata%\Microsoft\Windows\Recent
echo y | del *.*

Также было бы неплохо удалить содержимое каталога %appdata%\microsoft\windows\recent\automaticdestinations\. В нем хранятся последние файлы, которые отображаются в списке перехода:

cd %appdata%\microsoft\windows\recent\automaticdestinations\
echo y | del *.*

Далее эти строчки пригодятся нам для написания собственного сценария очистки системы от следов нашего пребывания в ней.

Чтобы последние файлы очищались автоматически при выходе нужно включить политику "Очищать журнал недавно открывавшихся документов при выходе", которая находится в разделе "Конфигурация пользователя\Административные шаблоны\Меню Пуск и панель задач"

Теперь переходим к "десятке". Отключить список недавно добавленных и часто используемых приложений можно через окно "Параметры". Открой его и перейди в раздел "Персонализация, Пуск". Отключи все, что там есть (рис. 4).

Отключение хранения списка программ
Рис. 4. Отключение хранения списка программ

Однако особо это проблему не решит. Так как если включить эти параметры снова наши списки в таком же составе вновь появятся. Поэтому придется отключать данную "фишку" через групповую политику. Открой gpedit.msc и перейди в раздел "Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач". Включи политики:

  • Очистка списка недавно использовавшихся программ для новых пользователей
  • Очистить журнал недавно открывавшихся документов при выходе
  • Очистить журнал уведомлений на плитке при выходе
  • Удалить список программ, закрепленных в меню Пуск

Групповая политика
Рис. 5. Групповая политика

Очистить недавние места в "десятке" проще. Открой Проводник, перейди на вкладку "Вид", нажми кнопку "Параметры". В появившемся окне отключи параметры "Показывать недавно использовавшиеся файлы на панели быстрого доступа" и "Показывать часто используемые папки на панели быстрого доступа". Также нажми кнопку "Очистить" (рис. рис. 6).

Параметры папок Windows 10
Рис. 6. Параметры папок Windows 10

Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение - ведь приходится применять редактирование групповой политики.

Очистка списка USB-накопителей

На некоторых режимных объектах к компьютеру разрешено подключать только флешки (накопители), зарегистрированные в журнале. Причем, как водится, журнал самый что ни есть обычный - бумажный. То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей. Не ограничивает, зато протоколирует. Если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы. Разберемся, как помочь пользователю.

Загляни в разделы реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

Вот они (рис. 7) - все твои накопители, которые ты подключал к своему компу.

Раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Рис. 7. Раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Казалось бы, нужно просто все здесь почистить. Но не так все просто. Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в "семерке", не говоря уже о десятке (рис. 8).


Рис. 8. Упс…

Во-вторых, назначать права и разрешения вручную довольно долго, особенно, если накопителей много. В-третьих, права админа не помогут. Рис. 8 был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов нужно почистить еще и следующие:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f5630a-b6bf-11d0-94f2-00a0c91efb8b} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{56907941-3AFE-11D4-AE2C-00A0CC242D2C} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed} 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\STORAGE\RemovableMedia 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{3abf6f2d-71c4-462a-8a92-1e6861e6af27} 
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} 
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f5630a-b6bf-11d0-94f2-00a0c91efb8b} 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices 

Эти разделы нужно не просто удалить, а правильным образом почистить. Скажем так, если ты сегодня узнал, что завтра проверка, придется остаться на ночь. Или использовать специальную программу. На некоторых форумах, где решается этот вопрос, рекомендуют программу USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не со всех разделов. Разделы USBSTOR и USB все еще содержат информацию о подключаемых носителей. А это первые разделы, куда будут смотреть проверяющие.

Могу порекомендовать программу USB Oblivion (http://www.cherubicsoft.com/en/projects/usboblivion). Запусти ее, включи параметр "Произвести реальную очистку (иначе симуляция)" (параметр "Сохранить .reg-файл отмены" можешь включить или выключить, но если цель - не проверка программы, а реальная проверка на работе, то лучше выключить) и нажми кнопку "Очистка".


Рис. 9. Программа USBOblivion

Программа не только делает очистку, но и выводит подробный лог своих действий (рис. 10). По окончанию ее работы не останется упоминаний о подключении каких-либо накопителей к компьютеру. Чтобы не было подозрительно, нужно подключить к нему зарегистрированный (разрешенный) носитель - чтобы хоть один носитель, но был.


Рис. 10. Программа USBOblivion в действии

Очистка кэша и истории браузеров

Третий пункт в нашем TODO - очистка кэша и журнала браузеров. Хорошо, если ты используешь один браузер, если же нет, то придется чистить все:

  1. Edge - очистить список загруженных файлов и все журналы можно с помощью Концентратора (рис. 11). Просто нажми соответствующие ссылки. При очистке журнала нужно выбрать все чекбоксы и нажать кнопку "Очистить" (рис. 12).
  2. Firefox - открой настройки, перейди в раздел "Приватность", нажми ссылку "удалить вашу недавнюю историю", выбери "Все", нажми кнопку "Удалить сейчас"..
  3. Chrome - нажми Ctrl + Shift + Del, на появившейся странице выбери очистку за все время, отметь все чекбоксы и нажми кнопку "Очистить историю".
  4. Opera - выбери Меню (Opera) -> Настройки -> Удалить личные данные. Принцип тот же - выбираем все, нажимаем кнопку "Удалить".
  5. IE - да кто его использует? Рекомендации ты найдешь на сайте Майкрософта.


Рис. 11. Концентратор браузера Edge


Рис. 12. Генеральная уборка в Edge


Рис. 13. Чистим Firefox


Рис. 14. Очистка Chrome

В результате ты не только сотрешь следы, но и сэкономишь место на диске. А чтобы на рабочем компьютере не приходилось чистить журналы браузера, все личные сайты посещай в режиме инкогнито. Конечно, админ при желании увидит лог на шлюзе, но на твоем компьютере все будет чисто. Оптимальное решение - использовать Tor. В этом случае даже админ не увидит, какие сайты ты посещаешь (при условии, что за твоей спиной нет камеры наблюдения).

Free History Eraser

Не все средства хороши. Один пример я уже приводил - утилита USBDeview. Второй пример - утилита Free History Eraser (рис. 15). Что-то она чистит, но явно не все. В итоге журнал Edge остался не тронут.


Рис. 15. Free History Eraser

Удаляем записи DNS

Узнать, какие сайты ты посещал, можно не только из журнала браузера, но еще и из кэша DNS. Когда ты вводишь адрес сайта в браузере, то твой комп обращается к DNS, чтобы разрешить имя сайта в IP-адрес. Кэш разрешенных ранее имен хранится на твоем компе. Просмотреть его можно командой ipconfig /displaydns. Вывод приводить не буду, он слишком длинный. Для очистки этого кэша используется другая команда - ipconfig /flushdns.

Очистка Flash Cookies

За тобой следят все, кому не лень. Даже flash-плейер и тот отслеживает твои посещения. Flash Cookies собираются в каталоге %appdata%\Macromedia\Flash Player\#SharedObjects. Что с ним сделать, ты уже догадался:

cd %appdata%\Macromedia\Flash Player\#SharedObjects
echo y | del *.*

Вообще команду del можно вводить и с одной звездочкой (*), но с двумя (*.*) мне как-то больше нравится.

Удаление списка последних документов MS Office

Для удобства пользователей список последних документов хранят все программы офисного пакета. В новых версиях Office нужно в параметрах перейти в раздел "Дополнительно", установить число последних документов = 1 (обрати внимание, на рис. 16 есть два параметра, которые нужно установить в 1). Значение 0 программа не позволяет установить, поэтому устанавливаем 1, а затем открываем какой-то безобидный файл.


Рис. 16. Параметры MS Word 2016

В старых версиях на вкладке "Общие" окна параметров можно или также установить значение 1 или вообще отключить параметр "Помнить список из N файлов" (рис. 17).


Рис. 17. Параметры MS Word 2003

Автоматизируем очистку с помощью CCleaner

Обрати внимание, что нам нужна CCleaner Desktop, а не CCleaner Cloud. Последняя стоит денег, а ее функционал значительно шире, чем нам нужно. Переходим по http://www.piriform.com/ccleaner и выбираем Free-версию.

Чем мне нравится CCleaner, так это тем, что он:

  • Поддерживает последние версии Windows, последние версии браузеров, в том числе Edge (в отличие от Free History Eraser)
  • Может очистить не только систему, но и приложения (рис. 19).
  • Программа может работать в batch-режиме и дальше будет показано, как вызвать процесс "уборки" из командного файла.


Рис. 18. Очистка системы (CCleaner)


Рис. 19. Очистка приложений (CCleaner)

Использовать ее просто - выбери те элементы, которые ты хочешь очистить и нажми кнопку "Очистка".

Windows Cleaner

Есть и еще одна программа для очистки всей системы - Windows Cleaner. Правда, на ее сайте указано, что она поддерживает системы до Windows 8 включительно. Действительно, в "десятке" программа не работала, как нужно. Во всяком случае с очисткой журнала Edge она не справилась.


Рис. 20. Приложение Windows Cleaner

Однако в более старых "окнах" она вполне имеет право на существование.

Реальное удаление файлов

Все мы знаем, что при удалении файл на самом деле не удаляется. Удаляется только запись о нем, а сами данные все еще продолжают существовать где-то на диске. Поэтому для полного удаления информации нужно использовать специальные wipe-утилиты, которые затирают свободное пространство диска случайными данными. После такого восстановить файлы не получится. В этой статье мы уже много чего удаляли, поэтому самое время затереть свободное пространство, чтобы нельзя было ничего восстановить.

Существует много утилит для затирания информации. Но мы будем использовать то, что уже у нас есть, а именно CCleaner. Зайди в "Сервис, Стирание дисков", выбери диск, какой хочешь стереть, что стирать - "Только свободное место" и способ стирания. Приложение поддерживает несколько стандартов стирания - от самого простого, подразумевающего одну перезапись, до метода Гутманна (35 проходов).


Рис. 21. Стирание свободного места

CCleaner - далеко не единственная программа. Есть много подобных программ. Например, BCWipe, с функциями которой ты можешь ознакомиться по адресу http://www.jetico.com/wiping/61-accordion-ru-2/558-acc-ru-2-2. Она может не только стирать свободное пространство, она может выполнять в том числе стирание файла подкачки, который также может содержать конфиденциальную информацию. Ее недостаток в том, что она платная, но для одноразового стирания (например, перед проверкой) подойдет и trial-версия - она бесплатная.

Создаем bat-файл для очистки всего

Теперь попытаемся автоматизировать некоторые описанные ранее операции. Начнем с удаления файлов из каталога Recent. Удалять командой del, как было показано выше - можно, но лучше сразу использовать CCleaner для безопасного удаления:

\путь\CCleaner.exe /delete "%appdata%\Microsoft\Windows\Recent\*" 1
\путь\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*" 1
\путь\CCleaner.exe /delete "%appdata%\Macromedia\Flash Player\#SharedObjects" 1

К сожалению, CCleaner нельзя вызвать так, чтобы он почистил в режиме командной строки все свободное пространство, поэтому придется удалять файлы через него, а не командой del или же использовать команду del, а потом вручную запустить его и вызвать очистку свободного пространства. Последний параметр (1) означает удаление с тремя проходами. Это оптимальный режим, поскольку с одним проходом (0) - слишком просто, а все остальные - слишком долго.

С параметрами командной строки CCleaner можно ознакомиться по адресу http://myccleaner.net/ccleaner-ndash-parametryi-komandnoy-stroki/. Зато в командном режиме можно удалить USB-накопители:

\путь\USBOblivion.exe -enable -auto -nosave -silent

Первый параметр запускает реальную очистку, а не симуляцию. Второй - работу в автоматическом режиме (тебе не придется нажимать кнопку), файлы .reg сохраняться не будут (-nosave), а параметр -silent означает работу в тихом режиме - как раз для командной строки.

Далее нужно запустить CCleaner с параметром /AUTO для автоматической очистки по умолчанию, но в ее результате не очищается кэш DNS, поэтому его придется очистить вручную:

путь\CCleaner.exe /AUTO
ipconfig /flushdns

Собственно, у нас получился вот такой сценарий:

\путь\CCleaner.exe /delete "%appdata%\Microsoft\Windows\Recent\*" 1
\путь\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*" 1
\путь\CCleaner.exe /delete "%appdata%\Macromedia\Flash Player\#SharedObjects" 1
\путь\USBOblivion.exe -enable -auto -nosave -silent

путь\CCleaner.exe /AUTO
ipconfig /flushdns

Создаем AutoHotkey-скрипт для очистки всего

Теперь напишем немного другой сценарий. Он будет запускать браузер Chrome в режиме инкогнито, после твоей сессии в Chrome (будет задан WinWaitClose) мы запустим CCleaner для автоматической очистки (будет удален кэш браузера и временные файлы), а после этого очистим кэш DNS.

Сценарий будет выглядеть так:

Run, C:\path\to\chrome.exe –incognito
WinWait, – Google Chrome
WinWaitClose 
Run, C:\путь\ccleaner.exe /AUTO
Run, cmd /c "ipconfig /flushdns"
MsgBox, Browsing Session is Cleaned.

Если ты и используешь Firefox, что измени первую строчку, указав путь к Firefox, а вот в качестве параметра нужно указать -private. Для запуска этого сценария тебе понадобится AutoHotKey (https://autohotkey.com/).