6.6. 痕迹清理

6.6.1. Windows

- AppCompatFlags

预读取文件夹，用来存放系统已访问过的文件的预读信息，扩展名为PF。位置在C:\Windows\Prefetch 。

记录用户最近使用的文档和应用程序，方便用户快速跳转到指定文件，位置在 %APPDATA%\Microsoft\Windows\Recent。

Windows中的使用这两个文件来跟踪具有不同可执行文件的应用程序兼容性问题，它可用于确定可执行文件首次运行的时间和最后修改时间。

在Windows 7、Windows Server 2008 R2等系统中，文件保存在 C:\Windows\AppCompat\Programs\RecentFileCache.bcf，包含程序的创建时间、上次修改时间、上次访问时间和文件名。

在Windows 8、Windows 10、Windows Server 2012等系统中，文件保存在C:\Windows\AppCompat\Programs\Amcache.hve ，包含文件大小、版本、sha1、二进制文件类型等信息。

Windows时间轴是Windows 10在1803版中引入的一个新特性，会记录访问过的网站、编辑过的文档、运行的程序等，

清除历史
- unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
- kill -9 $$ kill history
- history -c
删除 ~/.ssh/known_hosts中记录
修改文件时间戳
- touch –r
删除tmp目录临时文件