Windows使用记录检测

Windows使用痕迹检测工具是针对注册表中保存的记录进行读取，不包括上网记录的检索，无需联网没有数据的传输，程序不写注册表，需要删除可以自行手动完成。工具下载

查看当前电脑的历史操作记录可以用这个程序自检一下，类似于专业的取证工具，不过那样太复杂也挺贵，一般用途几个工具的组合也就可以了。解决问题 的关键就是从庞大的注册表中分析中有效记录。

如果需要删除注册表项，就先备份一下再删除。选中要备份的项右击—-备份关键位置。

目录访问记录中的访问时间，不是访问文件夹的最后访问时间，在gho文件夹内创文件夹或文件，最后访问时间都不会发生变化，就是在gho里面创建或复制一个目录还要确保此处以前不曾创建过相同的目录【也就是它没有被注册表记当过】再打开并访问进行刷新访问时间才会发生变化。而且连它的上级目录的访问时间也发生变化了【因为只有打开上级才能打开下级，所以一同更新】。

文件访问记录的清除，打开要清除的文件夹—–文件夹选项—-隐私清除即可。注：牵扯到快速访问功能所以隐私清除就不能使用。

如果只是清除指定的项目，在此检测器中选中要清理的项目—双击定点清除。

如果需要保存一份当前注册表的记录，将此检测器拷贝到优盘并在同一目录下新建一个名称为0的文件夹，再次执行记录本.exe检测器，【它的条件就是记事本.exe和文件夹名称为0这两个条件】表面上看没有反映，其实已经备份了。

想再次打开记事本.exe只要将名称为0的文件夹名字改为其它的就可以打开记事本.exe了。右键"读取数据"打开备份的记录会发现标题栏有文件夹的路径。

如果要打开本机的数据，右击刷新全部数据即可。此时的标题栏没有路径。

清除优盘记录—-清除某项优盘记录右键定位到注册表，不让删除，就算改了权限也不行。

查看权限为管理员权限，是不能操作注册表的。

查看任务管理器发现是管理员权限，但是只有系统权限才可以修改注册表的部分。在管理员权限的cmd 运行以下命令。

PsExec.exe -accepteula -s -i regedit.exe

此时的注册表就是系统权限了，此时的注册表显示的项目是不全的，所以平时不要这样用。