系统偷偷保留的程序使用记录,你知道都在哪儿吗?

“Hello!大家好!我现在来到了大学的南大门!”

蔡学飞面对着相机镜头一阵眉飞色舞地“表演”。

“看到这雄伟的建筑没有?接下来我就带领大家去参观一下这个大学校园,领略校园风光!Let's 汪汪...”

突然间镜头里不知什么时候窜出一个人脑袋来,占据了镜头的三分之二,吓得这小子学起了狗叫。

“我去!我还以为谁呢,你小子怎么才来啊!我去...吓死我了!”蔡学飞收起相机冲着那人埋怨道。


再仔细看那来人,一位小伙子,短发、平头正脸儿,中等苗条身材,上下干干净净戴着眼镜,一副文质彬彬的样子,一看就是位在校的大学生。

“表哥,不好意思哈!难得你来看我,让你久等了!”

原来来者不是别人,正是蔡学飞的表弟叶冲。


见是表弟来了,蔡学飞又没好气地吐槽道:“你怎么才来啊!你这学校也太大了,要不是我迷路,我能杵在这儿等半个多小时吗?”

“抱歉抱歉!我这不马上快毕业了嘛,在赶论文花了点时间!”叶冲扶了扶眼镜解释道。

“行了,赶紧走吧!带我参观参观你这学校,要不以后还真没机会了!”

“好啊,我们现在在南大门,要不我带你先去教学区走走,那离这边最近!”

“行行,都转一转,你也好好再看看你的母校,毕业以后也不一定能再来看看了。”

蔡学飞似乎回忆起自己上学时的光景,竟然感慨了起来。

叶冲点点头,哥俩就开始了校园之旅。


话说逛了老半天,这兄弟二人也有些乏累,就商量着先回趟宿舍再找个吃饭的去处好好一起吃个大餐。

于是兄弟二人快步来到了宿舍楼下,正欲上楼之时,忽见楼上飞跑下一人。

此人神色异常、慌里慌张,与蔡学飞二人正好擦肩而过,差点就冲撞在一起。

嗯?出于职业敏感,蔡学飞就感觉此人并非善类,定有隐情!

他正想回过头去问个究竟,却被叶冲一把拉住。


“那人我认识,名叫白小刚,是与我同届不同班的本校学生。”

“好像听说他是个富二代,平日里出手阔绰,花钱如流水,不怎么在宿舍住,我们基本上也看不到他人,也不知道天天在哪里鬼混。”

“哎?奇怪了,今天怎么跑这儿来了?”

叶冲不经意地嘀咕了这几句,却被蔡学飞记在了心里。

既然还等着出去吃饭,就暂且不去理会吧,这兄弟二人也就径直上楼了。


兄弟二人边走边聊着刚才的事儿,一前一后刚推开宿舍门,忽见门内一黑影冲上前来就想将叶冲给扯住。

要不说行家伸伸手便知有没有啊!

幸好蔡学飞一个箭步走在前头,再加上他本来就是个练家子,那黑影不但没有能占到便宜,反而被蔡学飞一把抠住手腕穴位,差点就给他来了个过肩摔。

只听那黑影被抠住手腕一阵剧痛,哎呀一声就瘫软在地。

蔡学飞心里话,我还没用力,你就倒下了,这就怂了?

兄弟二人推开房门冲进宿舍,这才发现坐在地上的却是与叶冲同宿舍的同学好友郑晃。

待叶冲看个仔细,立马拦住表兄,忙喊道:“哥哥,且慢动手!”

随后叶冲三步并做两步上前将郑晃扶起坐在床边,便问道这是怎么回事。


此时郑晃呲牙咧嘴、额头冒汗,一个劲儿地柔着手腕,嘴里好一阵的“哎呀妈呀”叫喊。

叶冲也埋怨表哥用力过猛,坐在一旁帮忙揉搓安慰。

好一会儿郑晃才缓了过来,开口第一句就问:“叶冲,这人谁啊?可要了我的命罗!”

叶冲脸皮尬笑了一下:“他是我表哥,今天特地来看我的。先别说这个,你倒是说说刚才是怎么回事啊?”

郑晃看了一眼叶冲,忽然略带哭腔地说道:“我就出去拿个快递的工夫,等我回来就发现有人动过我的电脑,我的论文被删没了!连程序使用记录都被清除了!”


“什么?!”叶冲一听,腾地站了起来,怒道,“还有这种事?”

“你会不会把论文放错地方了?”,叶冲试图询问。

“不会的,我每次都保存在一个固定的文件夹内,而且每次都会备份在网盘上。可是就是最后一版我还没来得及备份,就被人删了!”,郑晃非常肯定自己并没有出错。


蔡学飞也感到意外,便问道:“那你知道可能是谁删的吗?”

“就是他!肯定是他!刚才我就看他从宿舍里出来的!”,郑晃含着泪激动异常。

叶冲向郑晃确认:“你是说...白小刚?”

“对!肯定是他,平时他都不在宿舍住,怎么今天就突然回来了,我的论文也莫名其妙不见了?”


蔡学飞回想起刚才上楼的情景,不得不将这个白小刚与论文被删事件联想在一起。

“那你电脑呢?让我帮你看看吧!”蔡学飞很想帮助这个心情失落的同学。

叶冲一听,也赞成道:“放心,我表哥是警察,专门负责处理计算机信息技术犯罪的。他可是有编制的哦!”

本来郑晃还不太相信眼前长相普通的蔡学飞,没成想最后一句倒让他向蔡学飞投来了信任和敬仰的目光。

郑晃指了指桌子上的电脑,于是蔡学飞兄弟二人就坐在电脑前面开始检查。


蔡学飞打算首先检查一下程序打开的历史记录,以便发现是否有人真的动过电脑。


“快速访问”保留着“最近使用”的记录

在文件资源管理器的快速访问窗口中,通常罗列了我们最近使用的文件记录。

这些最近使用的历史记录可以让我们很方便地定位最近想要处理的文件。


是不是很好奇这些记录被放在了哪里呢?

其实它们并不是被放在了注册表中,而是被放到了如下的文件夹中,当然了,它们都是些快捷方式。

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent
 

注意,这个名为 Recent 的文件夹往往显示为 最近使用的项目 这样一个中文名称。


当然,你也可以随意删除你感觉碍眼的或没必要显示的记录。

不过需要注意的是,你无法通过直接删除 Recent 文件夹内的快捷方式来删除记录,反正我刷新了半天记录还在。


记录删除没啥问题,但是如果重新打开了文件或有其他一些操作的话,那么最近使用记录又会被更新。

因此要想彻底清除这些“最近使用”的记录,那么我们必须要将“快速访问”显示项给关闭。


接着,蔡学飞又找到了编辑论文所使用的程序,想看看是否有使用过的什么记录留下。


任务栏程序带有的“快速使用”记录

右键点击任务栏图标,就会看到最近曾经打开过的文件记录项。


这和前面讲的“快速访问”类似,可以使我们非常方便地定位最近不久前处理过的文件。

但是总有一些并不适应这么玩的情况,比如隐私问题,又比如一长条记录有碍观瞻,那有没有办法消除掉呢?

打开 Windows 设置,找到 个性化


然后左侧导航栏定位到 开始 ,在右侧的 在“开始”菜单或任务栏的中转列表中以及文件资源管理器的“快速使用”中显示最近打开的项 这一项下方点击开启或关闭按钮。

如果关闭的话,当我们再右键点击任务栏上的程序图标时,就不会看到以往打开过的文件记录了。


Office 记录

Excel 举例,在 选项 > 高级 中,找到 显示此数目的“最近使用的工作簿(R)” 一项。

如果此项设定为大于 0 而又小于等于 50 的数字,那么我们在打开 Excel 时,其首页面会呈现给我们曾经访问过的数个文件记录。


如果不想让记录最近处理文档记录下来,那么只要将此项设定为 0 即可。


然而这些Office访问记录则被记录在了如下注册表项中。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Excel\User MRU\ADAL_XXXXXXXX
 


其中的 Item 项就是最近记录。

[F00000000][T01D87AF60CCE4DA0][O00000000]*C:\Users\用户名\Desktop\网管小贾的工作记录.xlsx
 


看上去字符串的格式是固定的,其中以字母 T 开头的看上去像是十六进制的字符串实际上是时间戳,这在以前我写的文章中有过详细的解读,有兴趣的小伙伴可以找来参考。

《十六进制的时间格式到底是个什么鬼?》


实际上在以下文件夹路径中也会保留一些 Office 文档访问的痕迹。

C:\Users\用户名\AppData\Roaming\Microsoft\Office\Recent
 

和前面的“快速访问”差不多,这里也都放的是快捷方式文件。


可是没想到事与愿违,以上几项,很显然都被人刻意地给关闭了。

蔡学飞他们并没有看到什么有效的记录,因此也就无法进一步判断到底肇事者什么时候动的手脚,更无法了解到动了哪些手脚。

一时间蔡学飞犯了难,形势居然被动了起来。

看着那两人期待的眼神,他灵机一动找了个借口溜到门口,他想请教师傅简睿。


一番沟通之后,蔡学飞从师傅简睿那儿得知,关于使用记录还有一个隐藏之处。


隐藏的“对话框”访问记录

不知道小伙伴们有没有一个体会,当我们打开或保存文档时,系统会自动帮我们定位到最后一次打开或保存文件的那个文件夹路径。

你肯定能猜到,系统又在“偷窥”我了,只是我们并不明白系统是怎么记录这些不同的程序它们最后一次的操作动作的呢?

这里我们就要说到以下注册表路径了。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
 


看着 ComDlg32 是不是有点眼熟呢?

没错,它就是对话框控件 Common Dialogue 嘛!

就在这个 ComDlg32 下面可是保存着我们平时使用程序的一举一动呢!


大概地 ComDlg32 有以下几个子项。

  • CIDSizeMRU - 应用程序运行信息记录(针对应用程序)
  • FirstFolder - 跟踪应用程序的安装位置(针对应用程序)
  • LastVisitedPidIMRU - 跟踪最近访问的文件(针对应用程序)
  • LastVisitedPidIMRULegacy - 跟踪最近访问的文件(32位)(针对应用程序)
  • OpenSavePidIMRU - 跟踪最近打开保存的文件(针对被操作的对象文件)


它们各司其职,有具体负责的工作,不过它们之间也有一部分交叉内容,但总之都是为了尽最大可能地记录我们使用电脑所留下来的痕迹。


OpenSavePidIMRU 可分为各种扩展名以及星号 * ,这个星号是指所有扩展名(也包含没有扩展名)的文件。

因此我们也能知道,星号项所记录的多多少少会和具体扩展名项的内容有所重复。

还是举几个例子吧!


看看最近我们都打开过哪些 JPG 图片,用以下注册表路径。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidIMRU\JPG
 


再看看最近打开过哪些 Excel 文档,用以下注册表路径。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidIMRU\xlsx
 


最后再看看最后访问的都有哪些文件。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidIMRU
 


看到这儿可能有的小伙伴会有点头晕,LastVisitedPidIMRUOpenSavePidIMRU 到底有啥不一样,傻傻分不清啊!

其实我们可以理解为 LastVisitedPidIMRU 向我们展示了用于打开要保存在 OpenSavePidIMRU 中文件的应用程序。

也就是说,前者保存的是应用程序(工具)本身,而后者则是具体你操作处理的文档文件(材料)对象。

比如我用记事本打开并保存了一个说明文件,那么 LastVisitedPidIMRU 保存的就是 Notepad.exe 的使用情况,而 OpenSavePidIMRU 则将说明文件 Readme.txt 的相关信息保留了下来。


此外,ComDlg32 各子项中,各个记录项的先后顺序并不一定从 0 开始往后排的,实际上它们的顺序应该参考 MRUListEx 这个二进制项。

MRUListEx 里面包含了实际的排序,八位十六进制数字为一个单元,比如下列图示中开头是 3 而并非 0


还有其他一些关于最近使用记录的说明。

具体请参考以下链接说明。

https://winreg-kb.readthedocs.io/en/latest/sources/explorer-keys/Most-recently-used.html


经过师傅的耐心讲解,蔡学飞顿时恍然大悟。

他飞奔回电脑前,尝试查看依此据是否留有相关的可疑痕迹。

果不出所料,注册表中的确记录着不少使用记录,可是这些记录项都是以二进制形式存储,一时半会儿也不方便快速定位可疑项。

事情稍有起色,却再次陷入困境,蔡学飞只好再次求助师傅。


使用工具软件,高效又便捷

如何查看前面介绍的这些历史记录呢?

难道还要文件夹、注册表里挨个翻找吗?

是啊,人生苦短,大家已经都很苦逼了,就不要再浪费时间在一些小细节上面了,于是自然有大神出手,将我们解救了出来。

很快,蔡学飞从师傅简睿手里得到了一款效率工作。

嗯,想必小伙伴们也听说过大名鼎鼎的 Nirsoft ,大神早已为我们准备好了一款神器软件:RecentFilesView

啥也不说了,拿来用就是了!

我们来看看它长啥样!


程序很简单小巧,打开就能自动读取最近的文件使用记录。


这一大堆记录当中,有的是保存在 “我最近的文档”文件夹


也有的是保存在 注册表


要想删除这些记录也就变得非常简单了,都不用知道它具体存放的位置,直接抬抬小手右键再删除即可。


这么好用的工具,当然要分享给大家了。


recentfilesview.7z (77.8K)

下载链接:https://pan.baidu.com/s/12YaUWShf-k2Lc5p6OGOfsQ

提取码:


输入密码,继续阅读



扫码关注微信公众号,回复文章ID免费获取密码


<文章ID:000963>


写在最后

最终蔡学飞成功定位到了郑晃同学论文的近期操作使用记录,时间的确就发生在他们刚进宿舍不久前的十数分钟,可以说那位白小刚有重大作案嫌疑。

蔡学飞建议郑晃找一找专门的数据恢复机构,想办法先将文档恢复出来看看,如果情况严重还是要报警处理。

关于作案动机,叶冲给出的猜测,有可能是毕业在即,平日里吃喝玩乐的白小刚想通过偷窃论文以达到顺利过关毕业的目的。

可是,他不是富二代嘛,花钱让人帮他搞定不就行了,怎么还要自己偷窃呢?

蔡学飞他们百思不得其解,可谁也没想到的是,就在数天之后,警方接到了一起报案,称有人在出租屋内自杀,正在医院抢救。

然而令蔡学飞大为震惊的是,自杀者名叫白小刚......

欲知后事,请看下回分解。


扫码关注@网管小贾,个人微信:sysadmcc

网管小贾 / sysadm.cc



提交评论

安全码
刷新

© 2020-present 网管小贾 | 微信公众号 @网管小贾
许可协议:CC-BY-NC 4.0 | 转载文章请注明作者出处及相关链接