如果我使用外部磁盘驱动器而不是 PC 中的硬盘驱动器来更新和保存文档它会在计算机的磁盘驱动器上留下我的文档的痕迹吗? 我知道“我最近的文档”可以被清空等,但我不想在我离开自己的电脑时留下一些我需要处理的机密文件的痕迹
答案1
文档的某些部分总是有可能留在页面文件中,而且(取决于应用程序)在%temp%处理过程中可能会在目录中创建临时文件。即使删除了所有临时文件,如果不执行相当繁重的磁盘擦除,文件内容也总是有可能恢复的。
答案2
1) USB 驱动器本身的痕迹留在 XP 中,包括设备管理器中(从菜单中选择“显示隐藏设备”,您将找到“通用卷”或“USB 大容量存储设备”等条目)。据我所知,这无法追溯到特定的驱动器,当然,这不一定是所问的问题,但请记住,如果您不应该将可移动驱动器插入工作计算机,这将要留下痕迹...
2) 取决于您使用什么程序编辑 U 盘上的文件,是的,Windows 会将引用分散到整个计算机中。所用程序(如 Word)的 MRU 菜单中将有对已编辑文档的引用,Windows 的“我的最近文档”文件夹中也会有条目(如原始发帖者所述)。某些程序甚至会在注册表中存储文件的位图缩略图!(例如 Paint.NET - 谢谢 Paint.NET,让我的女朋友看了我所有的性爱照片!)
3) Word 使用隐藏的临时文件来存储对文档的更改。在 Word '07 之前的版本(或可能是 '03,不确定)中,它使用文件名格式 ~WRLnnnn.tmp。在更高版本中,它使用模式 ~$_Important_Confidential_File.docx,其中原始文件名为 My_Important_Confidential_File.docx。无论哪种情况,临时文件通常都存储在与原始文件相同的文件夹中——有时但是,如果驱动器太满而无法创建临时文件,则文件将保存在 %TEMP% 文件夹中。最后,Word 有时会在 %TEMP% 文件夹中再次创建相关文件的自动恢复!
3) 该文件的名称可能会或可能不会显示在您的 Explorer 历史记录中——当然,可以使用 INTERNET Explorer 的删除历史记录功能将其删除。
4) 最后:好用的 hiberfil.sys 和 pagefile.sys。Hiberfil.sys 是计算机内存内容的副本,用于存储休眠时的机器状态。Pagefile.sys 是交换文件(用于虚拟内存)。它是理论上即使机密文件是从可移动驱动器加载的,也有可能从页面文件或休眠文件中恢复机密文件的部分内容。但是,除非计算机在编辑过程中发生硬关机(即断电),否则即使是最好的计算机取证专家也不太可能在这种情况下轻松恢复数据,或者没有动力去尝试。除非您正在编辑/查看绝密的政府或公司数据,或机密数据,如果数据被第三方泄露或查看,可能会危及他人的生命或生计,否则这可能不是值得担心的事情。
答案3
当 USB 可移动存储设备(拇指驱动器、iPod、数码相机、外部硬盘等)连接到系统时,Microsoft Windows 操作系统会记录工件。
关于如何查看此 UUID 和信息的更多解释请参见此处 http://www.forensicswiki.org/wiki/USB_History_Viewing
这就是痕迹部分,...
关于文档:清理临时目录和最近的文档是个好主意。您可以使用便携版CCleaner去做这个。
关于页面文件:重新启动应该可以解决这个问题。但你永远无法免受冷启动攻击