ENCASEフォレンジック：誰かがCCleanerまたはCleanUpソフトウェアを実行したかどうかを検出します

各ユーザー（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssistにある）のUserAssistレジストリエントリを調べるか、prefetchファイル（%SystemRoot%\Prefetchにあります）。

どちらも、マシン上で実行されたプログラムのリストを保持します。これには、プログラムが最後に実行された時間と、そのプログラムが実行された回数が含まれます。

参考文献：

• プリフェッチ
• serAssist

時には証拠の欠如はそれ自体の証拠です。まったく何も含まれていないセクターが見つかった場合は、クリーナーツールが使用されている可能性があります。ほとんどすべてのディスクで、未使用のセクターにデータが残っています。このメソッドを使用して、大きなデータのチャンクが削除されたかどうかを判断できる場合があります。