查看完整版本: [-- 不重装系统清上网记录对抗猎隼、X-Ways Trace --]

无忧商城论坛 -> 数据销毁 -> 不重装系统清上网记录对抗猎隼、X-Ways Trace [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

superqvb 2009-08-13 17:48

不重装系统清上网记录对抗猎隼、X-Ways Trace

  查上网记录的软件一般是猎隼或X-Ways Trace,我手里有猎隼3.5版和X-Ways Trace3.1版,两个软件同时运行,猎隼速度很快,但X-Ways Trace能查出的上网记录,猎隼查不出来。

  这两个软件把一些特定信息作为上网记录,这些信息是以文件形式存在的,比如internet临时文夹、cookie、历史记录等等,包括index.dat,这些东西我们可以删除,大家都知道删除或高格虽然改变了目录表和扇区分配表,但是没有真正擦除数据区,猎隼的强力搜索和X-Ways Trace打开磁盘,是用恢复文件的原理逐扇区搜索,被删除的上网记录信息如果没有被覆盖还是可以找到。

  低格硬盘或擦除C盘再重装系统肯定没问题。有人说覆写的数据仍然可以读出来,理论上讲,从磁头偏移和磁介质排列特征的角度,有恢复覆写数据的可能性,但肯定需要强大的软硬件支持,在普通硬盘上运行猎隼、X-Ways Trace是不会有那个效果的,我相信也没人花那本钱来对付我们,所以擦除C盘再安装纯净系统肯定没问题。同样的道理,如果保证系统已经清理干净,把磁盘剩余空间擦一遍,也不会有问题,只要让猎隼、X-Ways Trace查不出来就行了。

  ★重要提示:内置管理员帐号
  如果当前用户不是系统内置管理员帐号,C盘又是NTFS,恰好Administrator目录中存在上网记录,Tracks Eraser Pro无读写该目录的权限,所以无法清除。而猎隼和X-Ways Trace是搜索扇区的,照样可以搜到。解决办法是在文件夹安全选项中,为当前用户添加完全控制权限。或者干脆用其它方法先把该目录删除,因为可能再没有机会用到它了。

  ★重要提示:C盘文件系统错误(刚用ghost恢复过的系统可以略过)
  清理之前应该对C盘进行查错并修复文件系统错误,避免文件目录表和扇区分配表不同步,丢失的簇中有上网信息,既不被清理又不被擦除,但仍会被搜索。

  ★重要提示:系统缓存页面文件
  遇到过新装克隆版操作系统,从系统缓存页面文件中查出上网记录的情况。大概是因为系统只是为该文件分配了空间,并未实际写入数据,该空间重装前的上网数据仍可被搜出。可将虚拟内存移至其它分区,重启后擦除。

  ★重要提示:IE收藏夹
  这两个软件都不检查IE收藏夹,但难保检查人员不手动查看,安全起见应先手动清理。

------------------------------------------------------------------------------------------------------

  方法很简单,不用低格,也不用重装系统,用Tracks Eraser Pro轻松搞定:

  运行Tracks Eraser Pro,点Eraser Settings,在Disk选项卡将C盘加入擦除列表(只擦除磁盘自由空间),其他设置不用动,确定后点Erase Now等它运行完就可以了。

  运行结束用X-Ways Trace再查,只剩几个乱码的记录,应该可以忽略。

  Tracks Eraser Pro还有一些辅助功能,不在此处讨论。这一类的软件应该还有很多,望大家发掘推荐。

------------------------------------------------------------------------------------------------------

  ☆提示:X-Ways Trace查到的ietld和iecompat信息
  安装IE8的系统,会在用户目录中生成IETldCacheIE、CompatCache文件夹,里面都有一个index.dat文件,删掉还会再出现,用X-Ways Trace可以查出几千个ietld:xxxx.xxx和iecompat:xxxx.xxx样的东西,但不是上网记录。如果看着不爽,可以删掉那两个index.dat文件,建index.dat文件夹代替,再运行Tracks Eraser Pro。少了那两个文件没发现对IE有什么影响。其实清了意义也不大,C:\Documents and Settings\用户\Local Settings\Temporary Internet Files\Content.IE5\index.dat文件不能删,这里面也有那样的记录。

  ☆提示:X-Ways Trace查到的其它信息
  有一些非上网记录的信息可能无法清除,可以将X-Ways Trace结果导出来,最后的Address列是信息指向的文件,如果文件不重要就找到删掉。这一步一定要慎重,先ghost以防万一,我就把系统弄瘫了。




  官网下载X-Ways Trace

注册信息:

Name: "www.okeydown.com"
Addr1: "www.okeydown.com"
Addr2: "www.okeydown.com"
Key1: 745224BE87D5E905F0D005B2FD415C8A
Key2: 641ADA6AAA2D8FBA14DFAD3F365BF68B
Chksm: B0

  点击下载“猎隼”涉密计算机上网监察取证系统中文绿色版

  官网下载Tracks Eraser Pro

注册信息:

Name:www.superdown.com
SN:53S5-3S28W43H

瞎捣鼓 2009-08-14 14:11
如法炮制,没有效果!

superqvb 2009-08-14 16:55
引用
引用第1楼瞎捣鼓于2009-08-14 14:11发表的  :
如法炮制,没有效果!


已经处理十台以上了,全是XP。

瞎捣鼓 2009-08-14 20:21
xp,ie7.0
做过碎片整理,ghost二次,包括Content.IE5\index.dat等index文件全部删除,还是被猎隼一个不落的罗列

superqvb 2009-08-14 21:45
引用
引用第3楼瞎捣鼓于2009-08-14 20:21发表的 :
xp,ie7.0
做过碎片整理,ghost二次,包括Content.IE5index.dat等index文件全部删除,还是被猎隼一个不落的罗列


  碎片整理只是将文件不连续的簇集中,对磁盘读写效率有好处,单纯碎片整理对清理上网记录没有作用,如果靠碎片清理去覆盖上网记录,概率太低太低。

  ghost是将分区信息、引导数据和文件打包,如果上网记录信息被一起备份了,恢复多少次还是存在的。

  关键是我没看到你擦除硬盘(写1或写0),即使ghost包里是干净的,多次恢复覆盖掉一部分,也难保硬盘自由空间不存在上网记录信息。

  你可以试一下,在PE中把C盘高格,用DiskRedactor或WipeIt之类的擦除软件擦一遍,用猎隼肯定搜不出东西来。再用ghost恢复系统,能查出记录的话,证明你的ghost备份包不是干净的,需要返回去彻底清理,再擦除。

  最后祝你成功。

瞎捣鼓 2009-08-15 08:05
引用
引用第4楼superqvb于2009-08-14 21:45发表的  :


  碎片整理只是将文件不连续的簇集中,对磁盘读写效率有好处,单纯碎片整理对清理上网记录没有作用,如果靠碎片清理去覆盖上网记录,概率太低太低。

  ghost是将分区信息、引导数据和文件打包,如果上网记录信息被一起备份了,恢复多少次还是存在的。
.......

用过好几个擦除软件做过
在整理前先删除一些大家都知道的文件
整理碎片只是为了把删除文件后的一些“空白”扇区填上,只是为了这一点点作用而为之
做ghost也只是为了在恢复时,使得文件存储连续,本身不是为了备份而操作,说白了是为了覆盖不用的数据(偶认为ghost在备份时认已删除文件是不存在的)

谢谢解答,我再用你说的方式试一试,我只是想知道是这些记录是在ghost文件里,还是硬盘上

再说点情况
电脑为双系统,第一系统为98在c区,第二系统为xp在d区,因一些特殊原因不能轻易重做系统,现在的系统已经使用快5年了

瞎捣鼓 2009-08-15 08:45
format硬盘且擦除2遍后仍有少量的记录在(300余条),ghost恢复后仍大量的记录被猎隼发现(3000多条),但比以前少了很多(1.8w多条),
另外把c盘也擦除了一下,来了点麻烦--------不能进入dos了,等会用98覆盖安装一次应该可以搞定

superqvb 2009-08-15 11:02
引用
引用第6楼瞎捣鼓于2009-08-15 08:45发表的  :
format硬盘且擦除2遍后仍有少量的记录在(300余条),ghost恢复后仍大量的记录被猎隼发现(3000多条),但比以前少了很多(1.8w多条),
另外把c盘也擦除了一下,来了点麻烦--------不能进入dos了,等会用98覆盖安装一次应该可以搞定




  建议你从光盘引导PE,在PE中分别对C、D盘进行操作。我觉得既然有ghost备份可以先删掉一个分区,把情况简单化,搞清原因再说。另外X-Ways Trace导出的记录中可以看到记录源在哪里,是文件清文件,是free space则擦盘。
  分区擦除后还能在该盘中扫出上网记录的话,我认为很恐怖。


  看我的电脑,清理、擦除前猎隼的结果:
[attachment=5632]



  清理、擦除后猎隼的结果:
[attachment=5633]



   清理、擦除后X-Ways Trace的结果:
[attachment=5634]



  对X-Ways Trace导出数据手动清除后的结果:
  
[attachment=5635]

瞎捣鼓 2009-08-15 18:28
用X-Ways Trace(未注册)我要疯了,自以为清掉的一些记录都回来了

superqvb 2009-08-15 19:02
引用
引用第8楼瞎捣鼓于2009-08-15 18:28发表的  :
用X-Ways Trace(未注册)我要疯了,自以为清掉的一些记录都回来了


  是启动到D盘的操作系统运行的清理软件吗?我这没双系统环境,没办法试它是否有效。

  既然用Tracks Eraser Pro不好用,建议你在X-Ways Trace中点File菜单中的Export把结果导出来,打开后看第二个address指向了哪个文件,如果是index.dat文件,可以用另一个软件Index.dat Analyzer清理。如果是普通临时文件,手动删除。最后擦一下剩余空间。

  别灰心,只要查出到,就能清得掉。

瞎捣鼓 2009-08-15 20:31
用X-Ways Trace指出的路径手动删除index.dat,擦除后再查又有了,导出后发现路径变了,删后擦除,查了发现还有,继续导出,路径又变了,哈哈哈哈,服了它,不玩了

superqvb 2009-08-15 21:28
引用
引用第10楼瞎捣鼓于2009-08-15 20:31发表的  :
用X-Ways Trace指出的路径手动删除index.dat,擦除后再查又有了,导出后发现路径变了,删后擦除,查了发现还有,继续导出,路径又变了,哈哈哈哈,服了它,不玩了


  把网线拔了,用Index.dat Analyzer可以把整个盘的index.dat搜出来一键清理,看它还出?

瞎捣鼓 2009-08-15 22:32
拔掉网线,用98系统对xp系统搜索并全部删除找到的index.dat文件12个,然后擦除xp系统盘,重启回到xp下,再次搜索xp系统下的index.dat文件,居然有几个不是开机时刻建立的,可见是启动时被什么软件给释放出来的,删掉这样老文件擦除后用猎隼查找,情况似乎有好转,共发现500多个昨天和今天上网痕迹

插上网线汇报情况,

superqvb 2009-08-15 23:13
引用
引用第12楼瞎捣鼓于2009-08-15 22:32发表的  :
拔掉网线,用98系统对xp系统搜索并全部删除找到的index.dat文件12个,然后擦除xp系统盘,重启回到xp下,再次搜索xp系统下的index.dat文件,居然有几个不是开机时刻建立的,可见是启动时被什么软件给释放出来的,删掉这样老文件擦除后用猎隼查找,情况似乎有好转,共发现500多个昨天和今天上网痕迹

插上网线汇报情况,


  看来离成功不远了,继续努力。

瞎捣鼓 2009-08-16 07:50
引用
引用第13楼superqvb于2009-08-15 23:13发表的  :


  看来离成功不远了,继续努力。

仍有两个会被系统自动释放出其备份,文件建立时间最早为06年4月
D:\Documents and Settings\LocalService\Local Settings\History\History.IE5
D:\Documents and Settings\nj\Local Settings\Temp\History\History.IE5
再进入98下查询该文件,居然显示的是今日创建的了,再汗一个 ,全部删除index文件,擦除、退出、打开xp、放猎隼,结果如下
耗时507秒,检查到999条,除了没有日期的记录几十条,其他均为近3天的

superqvb 2009-08-16 09:13
引用
引用第14楼瞎捣鼓于2009-08-16 07:50发表的  :

仍有两个会被系统自动释放出其备份,文件建立时间最早为06年4月(肯定在98下删除且擦过)
D:Documents and SettingsLocalServiceLocal SettingsHistoryHistory.IE5
D:Documents and SettingsnjLocal SettingsTempHistoryHistory.IE5
再进入98下查询该文件,居然显示的是今日创建的了,再晕一个
.......


  直接引导到D盘的XP,安装运行Index.dat Analyzer,点绿色的+号,点搜索index.dat文件,把D盘所有index.dat加进来,再点自动擦除,就是允许index.dat文件存在,但把里面的内容清空。尔后运行硬盘剩余空间擦除软件,擦D盘。最后运行X-Ways Trace导出记录,看记录指向哪里,再根据记录清理。
  整个过程中不重启,重复上面的操作,直到搜不出上网记录。
  全部完成后不要进C盘的win98,重启进接进XP,再次检查。

瞎捣鼓 2009-08-16 15:32
经过七七四十九次的反复:查找、删除、擦除,尚有几个记录开始和我捉迷藏了,实在没有耐心再搞下去了,嘿嘿。
但猎隼已经被成功对抗了,一个也找不出了
再次感谢楼主的热心和耐心帮助

superqvb 2009-08-16 16:31
引用
引用第16楼瞎捣鼓于2009-08-16 15:32发表的  :
经过七七四十九次的反复:查找、删除、擦除,尚有几个记录开始和我捉迷藏了,实在没有耐心再搞下去了,嘿嘿。
但猎隼已经被成功对抗了,一个也找不出了
再次感谢楼主的热心和耐心帮助

-
-
      客气了,胜利万岁!
-
-

星云来来 2009-08-18 11:14
呵呵,省保密局要来我县检查,我通过两天的努力,终于把办公室所有电脑彻底清理了上网记录,真爽

superqvb 2009-08-18 12:21
引用
引用第18楼星云来来于2009-08-18 11:14发表的  :
呵呵,省保密局要来我县检查,我通过两天的努力,终于把办公室所有电脑彻底清理了上网记录,真爽

-
-
        用什么软件清的,什么软件查的,什么步骤,请共享一下。
-
-

星云来来 2009-08-18 14:35
其实楼主的经验已经很好了,思路是对的。其实方法很简单,先用X-Ways Trace 扫描硬盘中可知的上网记录,打开后看第二个address指向了哪个文件,如果是index.dat文件,有可能不是index.dat,或者其它的文件,扫描到后用擦除软件删除该文件,最后用擦除软件撤销清理一下C盘就OK了,如果擦除软件清理后还有上网记录,再重复以上步骤。

瞎捣鼓 2009-08-18 17:54
引用
引用第20楼星云来来于2009-08-18 14:35发表的  :
其实楼主的经验已经很好了,思路是对的。其实方法很简单,先用X-Ways Trace 扫描硬盘中可知的上网记录,打开后看第二个address指向了哪个文件,如果是index.dat文件,有可能不是index.dat,或者其它的文件,扫描到后用擦除软件删除该文件,最后用擦除软件撤销清理一下C盘就OK了,如果擦除软件清理后还有上网记录,再重复以上步骤。
是的,对于不便重做系统的特别有用
能重装系统的建议还是先格式化再擦除,然后重装系统,省事省心,要不太累

ps:开始我们只关心index文件是片面的,往往在一个小图标上就包含了上网信息,一个帮助文件也会给出上网痕迹,X-Ways Trace 强大就在于可以追踪这些东西,是猎隼所不具备的

superqvb 2009-08-19 07:18
  实践证明,猎隼是比较容易对付的。X-Ways Trace列出的记录更多,虽然有些根本不是上网记录,但无论检查取证还是自查清理,从严的原则不会错。而且X-Ways Trace可以导出记录来源,以供准确甄别,这也是猎隼不具备的。所以基本放弃了猎隼。
  现在的问题是,对付X-Ways Trace,很难一步到位,总希望它搜索后的界面是清爽的,曾有过搞一个辅助软件将所有列出的文件自动清理的念头,可有些记录指向系统文件夹,清除有危险性,遂放弃想法。程序毕竟是程序,如果不重装系统清理过后,手工仔细再查,相信还能找到上网的证据。
  所以,要求不是很严,只为对付猎隼、X-Ways Trace,可以不重装系统清理擦除。如要确保安全,擦盘重装是必要的。备份纯净系统擦盘恢复是我曾经用过的方法。

风之千湄 2009-09-19 03:18
我在单位是办公室的,有时电脑经常帮他们小小维护一下。但是得知近期**局的要来检查,因为之前对网络这块不是很懂,加之我们有几台电脑是内外网混用的,如果查到内外网混用是警告,但是如果又有泄秘的话那真的是会死人的,已经听上面的人说有人进去了,虽说我们是非涉密单位,但如果真查出用外网的同事上外网泄密的话,我很担心是不是也会牵连进去,因为在单位算是我负责这一块吧,所以昨天得知消息后,就十万火急的将内网及外网交换机彻底的物理隔离了,但是上过外网的内网机就不好处理了,再则据说他们的工具是一个十万元的U盘,一插进机子导入搜索到的信息后就走人了,回去再分析,真可怕,我估计哈,可能高级的方法都无法应对~所以在粗略查看了你们的帖子后,我看一下,MS重装系统也不成,但还是想试试在不重装系统的前提下用你们的方法试一下,也就是说用TracksEraserPro清除,再用猎隼和X-Ways Trace(后者英文的,完全不会用,有人可以说明一下吗?)查询是不是还有记录就成了?主要是有一个领导是上外网的,因工作需要经常要传资料文件之类的,所以想帮她查查,其他有些我帮他们由内网换外网升级病毒库的机子也要查,谁知道他们会不会自己换上网看什么东东,唉。。。昨天被信息中心的主任吓得我一个中午和晚上都睡不着觉,一直在想还有哪台哪台机子需要清理一下的,痛苦呀。。。能告诉我以上的操作方法行吗?或者是我下载一个JUJU纯净原版安装?
无语了,刚用TracksEraserPro清除后,用猎隼查居然全有,有谁能告诉我你们哪个的帖子能彻底解决这一问题呀。。。555~
另外:X-Ways Trace实在不会用呀,楼上同志们说的真的能清除?

superqvb 2009-09-19 11:44
引用
引用第23楼风之千湄于2009-09-19 03:18发表的 :
我在单位是办公室的,有时电脑经常帮他们小小维护一下。但是得知近期**局的要来检查,因为之前对网络这块不是很懂,加之我们有几台电脑是内外网混用的,如果查到内外网混用是警告,但是如果又有泄秘的话那真的是会死人的,已经听上面的人说有人进去了,虽说我们是非涉密单位,但如果真查出用外网的同事上外网泄密的话,我很担心是不是也会牵连进去,因为在单位算是我负责这一块吧,所以昨天得知消息后,就十万火急的将内网及外网交换机彻底的物理隔离了,但是上过外网的内网机就不好处理了,再则据说他们的工具是一个十万元的U盘,一插进机子导入搜索到的信息后就走人了,回去再分析,真可怕,我估计哈,可能高级的方法都无法应对~所以在粗略查看了你们的帖子后,我看一下,MS重装系统也不成,但还是想试试在不重装系统的前提下用你们的方法试一下,也就是说用TracksEraserPro清除,再用猎隼和X-Ways Trace(后者英文的,完全不会用,有人可以说明一下吗?)查询是不是还有记录就成了?主要是有一个领导是上外网的,因工作需要经常要传资料文件之类的,所以想帮她查查,其他有些我帮他们由内网换外网升级病毒库的机子也要查,谁知道他们会不会自己换上网看什么东东,唉。。。昨天被信息中心的主任吓得我一个中午和晚上都睡不着觉,一直在想还有哪台哪台机子需要清理一下的,痛苦呀。。。能告诉我以上的操作方法行吗?或者是我下载一个JUJU纯净原版安装?
无语了,刚用TracksEraserPro清除后,用猎隼查居然全有,有谁能告诉我你们哪个的帖子能彻底解决这一问题呀。。。555~
另外:X-Ways Trace实在不会用呀,楼上同志们说的真的能清除?


  本人既要检查本单位的电脑,又要帮他们清除记录以应付上级检查。检查用到的软件就是猎隼和X-Ways Trace了,我们这一千块的U盘也没有,所以这些方法不敢说对付得了那个十万元的。
  但我想,普通电脑、普通硬盘、插个U盘(十万元应该主要是软件版权)应该找不覆盖的记录,彻底清理再擦盘同样适用。如果确实后果严重、风险巨大,那还是建议你擦盘再安装纯净版。

jason 2009-09-19 11:57
引用
据说他们的工具是一个十万元的U盘,一插进机子导入搜索到的信息后就走人了,回去再分析


既然你们是非涉密单位,应该没那么多要求的,而且他们用的不是什么10W元的U盘,就是一个装有猎隼的U盘,当然如果是**局来检查的话,可能用的是金X的检查系统,那个更没什么的,盗版的猎隼而已,这种软件如果是在普通市场上,100块都不值。

风之千湄 2009-09-19 15:09
汗一个,谢谢楼上同志们的帮助,那我就先用TracksEraserPro擦除再用猎隼查一下,再重装纯净原版试一下,毕竟打听来属于涉密的单位应该是机关部门,偶这儿是事业单位,再者涉密的文件一般是纸质的,至于进去的那个人听说是他将纸质的秘级文件扫描进电脑,又上外网,中了木马,文件被盗,虽说不是故意的,但是文件确实没有了,进去三年,挺冤的。。。还好,偶还从来没有见过有秘字样的文件。。。

qazqaz12 2009-10-18 06:59
必须炮制,实在无法接受!

lejiao 2009-10-19 18:47
学习一下,谢谢

night24 2009-12-09 16:47
呵呵 按照步骤做了 还可以被查出

a63622 2009-12-31 19:36
没有秘密,支持一下!!

wood1314 2010-01-31 21:01
已经处理十台以上了,全是XP。

1105642867 2010-04-23 21:09

LZ我业余,看了半天,这有啥用啊?防止别人知道我们操作的历史?


查看完整版本: [-- 不重装系统清上网记录对抗猎隼、X-Ways Trace --] [-- top --]



Powered by PHPWind v7.5 SP3 Code © 2003-09 PHPWind
Time 0.160991 second(s),query:2 Gzip enabled

You can contact us