不重装系统清上网记录对抗猎隼、X-Ways Trace

　　查上网记录的软件一般是猎隼或X-Ways Trace，我手里有猎隼3.5版和X-Ways Trace3.1版，两个软件同时运行，猎隼速度很快，但X-Ways Trace能查出的上网记录，猎隼查不出来。

　　这两个软件把一些特定信息作为上网记录，这些信息是以文件形式存在的，比如internet临时文夹、cookie、历史记录等等，包括index.dat，这些东西我们可以删除，大家都知道删除或高格虽然改变了目录表和扇区分配表，但是没有真正擦除数据区，猎隼的强力搜索和X-Ways Trace打开磁盘，是用恢复文件的原理逐扇区搜索，被删除的上网记录信息如果没有被覆盖还是可以找到。

　　低格硬盘或擦除C盘再重装系统肯定没问题。有人说覆写的数据仍然可以读出来，理论上讲，从磁头偏移和磁介质排列特征的角度，有恢复覆写数据的可能性，但肯定需要强大的软硬件支持，在普通硬盘上运行猎隼、X-Ways Trace是不会有那个效果的，我相信也没人花那本钱来对付我们，所以擦除C盘再安装纯净系统肯定没问题。同样的道理，如果保证系统已经清理干净，把磁盘剩余空间擦一遍，也不会有问题，只要让猎隼、X-Ways Trace查不出来就行了。

　　★重要提示：内置管理员帐号
　　如果当前用户不是系统内置管理员帐号，Ｃ盘又是NTFS，恰好Administrator目录中存在上网记录，Tracks Eraser Pro无读写该目录的权限，所以无法清除。而猎隼和X-Ways Trace是搜索扇区的，照样可以搜到。解决办法是在文件夹安全选项中，为当前用户添加完全控制权限。或者干脆用其它方法先把该目录删除，因为可能再没有机会用到它了。

　　★重要提示：C盘文件系统错误(刚用ghost恢复过的系统可以略过)
　　清理之前应该对C盘进行查错并修复文件系统错误，避免文件目录表和扇区分配表不同步，丢失的簇中有上网信息，既不被清理又不被擦除，但仍会被搜索。

　　★重要提示：系统缓存页面文件
　　遇到过新装克隆版操作系统，从系统缓存页面文件中查出上网记录的情况。大概是因为系统只是为该文件分配了空间，并未实际写入数据，该空间重装前的上网数据仍可被搜出。可将虚拟内存移至其它分区，重启后擦除。

　　★重要提示：IE收藏夹
　　这两个软件都不检查IE收藏夹，但难保检查人员不手动查看，安全起见应先手动清理。

------------------------------------------------------------------------------------------------------

　　方法很简单，不用低格，也不用重装系统，用Tracks Eraser Pro轻松搞定：

　　运行Tracks Eraser Pro，点Eraser Settings，在Disk选项卡将C盘加入擦除列表（只擦除磁盘自由空间），其他设置不用动，确定后点Erase Now等它运行完就可以了。

　　运行结束用X-Ways Trace再查，只剩几个乱码的记录，应该可以忽略。

　　Tracks Eraser Pro还有一些辅助功能，不在此处讨论。这一类的软件应该还有很多，望大家发掘推荐。

------------------------------------------------------------------------------------------------------

　　☆提示：X-Ways Trace查到的ietld和iecompat信息
　　安装IE8的系统，会在用户目录中生成IETldCacheIE、CompatCache文件夹，里面都有一个index.dat文件，删掉还会再出现，用X-Ways Trace可以查出几千个ietld:xxxx.xxx和iecompat:xxxx.xxx样的东西，但不是上网记录。如果看着不爽，可以删掉那两个index.dat文件，建index.dat文件夹代替，再运行Tracks Eraser Pro。少了那两个文件没发现对IE有什么影响。其实清了意义也不大，C:\Documents and Settings\用户\Local Settings\Temporary Internet Files\Content.IE5\index.dat文件不能删，这里面也有那样的记录。

　　☆提示：X-Ways Trace查到的其它信息
　　有一些非上网记录的信息可能无法清除，可以将X-Ways Trace结果导出来，最后的Address列是信息指向的文件，如果文件不重要就找到删掉。这一步一定要慎重，先ghost以防万一，我就把系统弄瘫了。




　　官网下载X-Ways Trace

注册信息：

Name: "www.okeydown.com"
Addr1: "www.okeydown.com"
Addr2: "www.okeydown.com"
Key1: 745224BE87D5E905F0D005B2FD415C8A
Key2: 641ADA6AAA2D8FBA14DFAD3F365BF68B
Chksm: B0

　　点击下载“猎隼”涉密计算机上网监察取证系统中文绿色版

　　官网下载Tracks Eraser Pro

注册信息：

Name：www.superdown.com
SN：53S5-3S28W43H

如法炮制，没有效果！

引用

引用第1楼瞎捣鼓于2009-08-14 14:11发表的  :
如法炮制，没有效果！

已经处理十台以上了，全是XP。

xp，ie7.0
做过碎片整理，ghost二次，包括Content.IE5\index.dat等index文件全部删除，还是被猎隼一个不落的罗列

引用

引用第3楼瞎捣鼓于2009-08-14 20:21发表的 :
xp，ie7.0
做过碎片整理，ghost二次，包括Content.IE5index.dat等index文件全部删除，还是被猎隼一个不落的罗列

　　碎片整理只是将文件不连续的簇集中，对磁盘读写效率有好处，单纯碎片整理对清理上网记录没有作用，如果靠碎片清理去覆盖上网记录，概率太低太低。

　　ghost是将分区信息、引导数据和文件打包，如果上网记录信息被一起备份了，恢复多少次还是存在的。

　　关键是我没看到你擦除硬盘（写1或写0），即使ghost包里是干净的，多次恢复覆盖掉一部分，也难保硬盘自由空间不存在上网记录信息。

　　你可以试一下，在PE中把C盘高格，用DiskRedactor或WipeIt之类的擦除软件擦一遍，用猎隼肯定搜不出东西来。再用ghost恢复系统，能查出记录的话，证明你的ghost备份包不是干净的，需要返回去彻底清理，再擦除。

　　最后祝你成功。

引用

引用第4楼superqvb于2009-08-14 21:45发表的  :


　　碎片整理只是将文件不连续的簇集中，对磁盘读写效率有好处，单纯碎片整理对清理上网记录没有作用，如果靠碎片清理去覆盖上网记录，概率太低太低。

　　ghost是将分区信息、引导数据和文件打包，如果上网记录信息被一起备份了，恢复多少次还是存在的。
.......

用过好几个擦除软件做过
在整理前先删除一些大家都知道的文件
整理碎片只是为了把删除文件后的一些“空白”扇区填上，只是为了这一点点作用而为之
做ghost也只是为了在恢复时，使得文件存储连续，本身不是为了备份而操作，说白了是为了覆盖不用的数据（偶认为ghost在备份时认已删除文件是不存在的）

谢谢解答，我再用你说的方式试一试，我只是想知道是这些记录是在ghost文件里，还是硬盘上

再说点情况
电脑为双系统，第一系统为98在c区，第二系统为xp在d区，因一些特殊原因不能轻易重做系统，现在的系统已经使用快5年了

format硬盘且擦除2遍后仍有少量的记录在（300余条），ghost恢复后仍大量的记录被猎隼发现（3000多条），但比以前少了很多（1.8w多条），
另外把c盘也擦除了一下，来了点麻烦--------不能进入dos了，等会用98覆盖安装一次应该可以搞定

引用

引用第6楼瞎捣鼓于2009-08-15 08:45发表的  :
format硬盘且擦除2遍后仍有少量的记录在（300余条），ghost恢复后仍大量的记录被猎隼发现（3000多条），但比以前少了很多（1.8w多条），
另外把c盘也擦除了一下，来了点麻烦--------不能进入dos了，等会用98覆盖安装一次应该可以搞定

　　建议你从光盘引导PE，在PE中分别对C、D盘进行操作。我觉得既然有ghost备份可以先删掉一个分区，把情况简单化，搞清原因再说。另外X-Ways Trace导出的记录中可以看到记录源在哪里，是文件清文件，是free space则擦盘。
　　分区擦除后还能在该盘中扫出上网记录的话，我认为很恐怖。


　　看我的电脑，清理、擦除前猎隼的结果：



　　清理、擦除后猎隼的结果：



　　 清理、擦除后X-Ways Trace的结果：



　　对X-Ways Trace导出数据手动清除后的结果：
  

用X-Ways Trace（未注册）我要疯了，自以为清掉的一些记录都回来了

引用

引用第8楼瞎捣鼓于2009-08-15 18:28发表的  :
用X-Ways Trace（未注册）我要疯了，自以为清掉的一些记录都回来了

　　是启动到D盘的操作系统运行的清理软件吗？我这没双系统环境，没办法试它是否有效。

　　既然用Tracks Eraser Pro不好用，建议你在X-Ways Trace中点File菜单中的Export把结果导出来，打开后看第二个address指向了哪个文件，如果是index.dat文件，可以用另一个软件Index.dat Analyzer清理。如果是普通临时文件，手动删除。最后擦一下剩余空间。

　　别灰心，只要查出到，就能清得掉。