Следы выполнения проги.

Есть прога под WinXP, которая должна запуститься, открыть файл, произмести с ним некоторые действия и закрыть его. После завершения проги не должно остаться никаких следов ни в реестре, ни в swap-файле.
Возможно ли такое?

 

по дефолту ничего не останется.

можно подчистить компрометирующие данные на страницах перед завершением процесса.

зы. Еще останется файлик в каталоге Prefetch. Его стоит грохнуть

 

в NT "отработаные" страницы памяти вроде как очищаются, так что вроде как ничего не останется

 

Cr4sh
В физической памяти они-то очистятся, но кто гарантирует, что очищенные страницы успеют сброситься в своп и перекрыть старые?

 

А как это, в двух словах?

Хм, как интересно... а че это за файлы такие накиданы в нем?

 

Это данные для менеджера логической предвыборки. Грубо говоря, винда смотрит, какие файлы процесс открывает в течение первых N секунд работы и при следующим запуске сразу их открывает, чтобы загрузка была быстрее.
Мало того, инициируется дефрагментация диска и все эти файлы перемещаются в одну непрерывную область, чтобы следующие операции предвыборки были еще быстрее.

 

у, шайтан. Учтем-с, спасибо...
А каким образом страницы чистить то?

 

xor eax,eax
mov edi, DESTINATION_ADDRESS
mov ecx, 0x1000
shr ecx, 2
rep stosd

 

а реально ли удалить своп или затереть его хламом? я полагаю, что реально, через прямой доступ к разделу и ручной разбор фата, но хотелось бы попроще как-нить

 

Я думаю, что будет трудно найти какие-либо остатки в свопе, так что имхо можно забить на это..
А вот целиком своп затирать не стоит, бсод будет =)

 

бсод - это не смертельно

 

ну-ну

 

не, ну а че, ну перегрузимся, ну и че? Вопрос в том, как удалить его....

 

в реестре можно поставить флаг, чтобы при ребуте он очищался. и инициировать ребут, если тебе на него пофиг

 

хм, тоже вариант.

 

Можете посмотреть следующие разделы реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Его подразделы - кладезь информации. Даже по расширению отсортированы.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
И это называется "недавние документы!"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop
А здесь все, что было открыто/сохранено на десктопе.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts

 

спасибо