1) Временные файлы
С:/Windows/Temp
По этому адресу у вас будут храниться временные системные файлы. Как правило, в данной папке содержится более 1000 файлов общим объемом от 500 МБ. Большинство из этих файлов подлежат анализу. Как следствие, эти файлы могут нанести много вреда. Поэтому, обязательно нужно чистить эти файлы.
2) Временные файлы пользователя
%TEMP%
Для запуска этой директории нужно ввести соответствующую комбинацию в окне «Выполнить». В этой папке хранятся документы пользователей. Например, документы продуктов Microsoft Office, части приложений, системные логи и т.д. Файлы добавляются после каждого использования компьютера. В среднем объем данных активного пользователя увеличивается на 500 МБ в месяц.
3) Приложения
%appdata%
После установки любого приложения в этой папке остаются данные. В этой директории хранятся временные и постоянные файлы приложений. Также можно найти логи переписок в мессенджерах. Можно посмотреть информацию по Telegram. Можно восстановить список пользователей в скайпе.
Поэтому стоит внимательно относиться к этим файлам. Так как после попадания этой информации в умелые руки узнать, с кем вы переписывались или обменивались файлами, не составит труда, даже если будут удалены программы.
4) Собственные логи приложений
Каждое приложение может вести свои логи, которые невозможно будет найти ни в журналах, ни в системных папках. Они могут находиться в папке с приложением или в отдельной директории. Как правило, расположение зависит от разработчика. Например, если пользователь использует программу TeamViewer, то можно посмотреть файл «Connections» со всеми подключениями, которые осуществлялись.
Также интересная ситуация с приложениями для обмена мгновенных сообщений (Jabber) по протоколу XMPP. Например, если вы используете PSI, то история с пользователями хранится в отдельном файле без какого-либо шифрования. Таким образом, можно посредством стандартного блокнота проанализировать все сообщения.
5) Журналы событий
Панель управления > Администрирование > Журнал событий
Основная утилита по сбору логов. Можно получить информации о работе служб, приложений, а также другие действия, которые привели к критическим ошибкам. Также можно найти информацию о том, когда был запущен компьютер, сколько она работал и какие приложения запускались во время эксплуатации. Информации очень много, которая может существенно навредить.
Чтобы постоянно не удалять информацию можно настроить ограничение по размеру. Можно выбрать любой объект, по которому ведутся логи и правой кнопкой мыши открыть свойства и указать значения параметра «Максимальный размер журнала КБ» - 0. После это журнал не будет собирать логи. Можно отключить журнал событий, как отдельную службу.
6) Точки восстановления системы
System Volume Information/Recovery
При установке операционной системы автоматически создается возможность для создания точек восстановления. Если ее целенаправленно не отключать, то можно посмотреть, существуют ли точки восстановления на вашем компьютере. Как правило, точки восстановления создаются автоматически через заданный период. Иногда точки восстановления создаются при установке игр. С помощью этой точки можно узнать, какой софт был установлен на момент создания, какие параметры и службы использовались.
Для более новых операционных систем информацию можно найти, написав в поиск «Восстановление». В моем случае автоматическое создание точек восстановления отключено.
Для того, чтобы очистить все точки восстановления, нужно перейти в пункт «Настроить» и нужно выбрать «Удалить». После этого удалятся все точки восстановления. Также можно отключить функцию создания точек восстановления системы в этом меню.
7) Недавно открытые файлы
%appdata%/microsoft/windows/recent/automaticdestinations/
В этой папке хранятся файлы, которые отображают части или полное содержимое открытых файлов. С помощью этого раздела можно узнать, какие приложения запускались больше всего. Дальше можно анализировать с помощью других разделов.
8) Файл подкачки
pagefile.sys
В файлах подкачки хранится достаточно много информации. Простыми словами, файлы подкачки – это информация, которая записывается на жесткий диск для уменьшения и более рационального использования оперативной памяти. Учитывая то, что для полного удаления нужно пройтись 35 раз по HDD, то информация о вашей системе может храниться в течение полугода. Сюда могут входить логи переписки, информация о ПК, данные по мессенджерам и т.д. Дополнительно можно посмотреть сайты, которые были открыты через сеть TOR. Также отображается вся информация о браузерах и т.д. Для анализа можно использовать программное обеспечение от компании «Белка софт», что будет проанализировано в конце статьи. Как отключить файл-подкачки?
Для этого достаточно найти диски, которые имеют эти файлы и перезагрузить компьютер. Для Windows 10 нужно перейти в режим «Настройка представления и производительности системы» > «Дополнительно» и в пункте «Виртуальная память» выбрать изменить. Далее в этом меню можно посмотреть на каких дисках разрешено создавать файлы подкачки и какой размер.
9) Файлы режимов гибернации
hiberfil.sys
После закрытия крышки или обычного выключения компьютер переходит в режим гибернации. После этого компьютер перемещает всю информацию с оперативной памяти на жесткий диск. Все данные остаются в системе, которые-то и позволяют найти очень много информации.
Для того, чтобы разобраться с режимом гибернации, нужно удалить старый файл. Для этого нужно использовать программы-шредеры, которые используют метод Питера Гутмана (35 проходов).
Чтобы отключить гибернацию, в командной строке введите powercfg -h off и нажмите Enter. Это отключит данный режим, удалит файл hiberfil.sys с жесткого диска, а также отключит опцию быстрого запуска Windows 10 (которая также задействует данную технологию и без гибернации не работает).