использование внешнего дисковода (или даже флеш-карта) оставляют трассировку на компьютере?

Всегда существует шанс, что части Вашего документа оставят в файле подкачки, и также что (в зависимости от приложения) временные файлы в %temp% каталог может быть создан во время обработки. Даже если все временные файлы удалены, не выполняя некоторое довольно усиленное дисковое стирание, всегда существует шанс, что содержание файлов будет восстанавливаемым.

Операционные системы Microsoft Windows записывают артефакты, когда съемные устройства хранения USB (карты флэш-памяти, iPod, цифровые фотоаппараты, внешний жесткий диск, и т.д.) подключены к системе.

больше объяснения о том, как видеть это UUID и информация здесь http://www.forensicswiki.org/wiki/USB_History_Viewing

это для части трассировок..

о документах: очистка временных каталогов и недавних документов является хорошим idee., можно использовать портативную версию CCleaner, чтобы сделать это.

о файле подкачки: перезагрузка должна заботиться об этом. но Вы никогда не в безопасности от Атаки с холодной загрузкой

1) трассировки самой Карты памяти оставляют в XP, включая в Диспетчере устройств (выберите Show Hidden Devices из меню, Вы найдете запись для "Универсального Объема" или "устройства массового хранения USB" или такого). Это не прослеживаемо к определенному диску, насколько я знаю, и конечно, это не обязательно, что спросили, но хорошо помнить, что, если Вы, как предполагается, не включаете съемные диски в рабочий компьютер, это оставит трассировку...

2) В зависимости от того, какая программа Вы раньше редактировали файл на карте флэш-памяти, да, окна рассеют ссылки на всем протяжении компьютера. Будет ссылка на отредактированный документ в меню MRU для используемой программы (такой как Word), а также запись в папке "My Recent Documents" Windows (как исходный упомянутый плакат). Некоторые программы даже хранят растровую миниатюру файла в реестре! (например, Paint.NET - спасибо, Paint.NET, для показа моей девушке всего моего порно пня!)

3) Word использует скрытые временные файлы для хранения изменений в документе. В случае версий до Word '07, (или возможно '03, не уверенный) это использовало формат имени файла ~WRLnnnn.tmp. В более поздних версиях это использует шаблон ~ $ _Important_Confidential_File.docx, где исходный файл называют My_Important_Confidential_File.docx. В любом случае временный файл обычно хранится в той же папке как оригинал - иногда, однако, файл будет сохранен в %TEMP папке % - если, например, диск будет слишком полон для разрешения создания временного файла. Наконец - Word иногда создает Автовосстановление рассматриваемого файла, еще раз в %TEMP папке %!

3) Название файла может или не может обнаружиться в Вашей истории Проводника - это может быть удалено, конечно, при помощи Internet Explorer Удаляют функцию Истории.

4) Последний из всех: старый добрый hiberfil.sys и pagefile.sys. Hiberfil.sys является копией содержания памяти компьютера, используемого для хранения состояния машины для спящего режима. Pagefile.sys является файлом подкачки (используемый для виртуальной памяти). Теоретически возможно восстановить биты конфиденциального файла или файла (файлов) от файла подкачки или файла спящего режима, даже если конфиденциальный файл был загружен из съемного диска. Однако, если компьютер не имел трудное завершение работы (т.е. потеря питания) во время редактирования, кажется маловероятным, что даже лучший эксперт по компьютерной экспертизе был бы легко восстанавливать данные в таком вопросе или будет иметь мотивацию для попытки. Если Вы не редактируете/просматриваете совершенно секретное правительство или корпоративные данные или конфиденциальные данные, которые могли подвергнуть опасности жизни или средства к существованию других людей, если бы данные были поставлены под угрозу или просмотрены третьим лицом, это - вероятно, не что-то для волнения о.