faz usando uma unidade de disco externa (ou até mesmo uma chave usb) deixar um rastreio em um computador?

Há sempre uma chance de que partes do documento sejam deixadas no arquivo de paginação e também que (dependendo do aplicativo) arquivos temporários no diretório %temp% possam ser criados durante o processamento. Mesmo se todos os arquivos temporários forem excluídos, sem executar alguma limpeza pesada do disco, há sempre uma chance de que o conteúdo dos arquivos seja recuperável.

1) vestígios da unidade USB em si são deixados no XP, inclusive no Gerenciador de Dispositivos (escolha Mostrar Dispositivos Ocultos no menu, você encontrará uma entrada para "Volume Genérico" ou "Dispositivo de Armazenamento em Massa USB" ou algo parecido) . Isso não é rastreável para uma unidade específica, tanto quanto eu sei, e, claro, isso não é necessariamente o que foi solicitado, mas é bom lembrar que, se você não deveria estar conectando drives removíveis em um trabalho computador, isso irá deixar um rastro ...

2) Dependendo do programa que você usou para editar um arquivo em um pen drive, sim, o Windows espalha referências por todo o computador. Haverá uma referência ao documento editado no menu MRU para o programa usado (como o Word), bem como uma entrada na pasta "Meus Documentos Recentes" do Windows (como o pôster original mencionado). Alguns programas ainda armazenam uma miniatura de bitmap do arquivo no registro! (por exemplo, Paint.NET - obrigado, Paint.NET, por mostrar a minha namorada toda a minha pornografia stump!)

3) O Word usa arquivos temporários ocultos para armazenar alterações em um documento. No caso de versões anteriores ao Word '07, (ou possivelmente '03, não tenho certeza), ele usou o formato de nome de arquivo ~ WRLnnnn.tmp. Em versões posteriores, ele usa o padrão ~ $ _Important_Confidential_File.docx, em que o arquivo original é denominado My_Important_Confidential_File.docx. Em ambos os casos, o arquivo temporário é geralmente armazenado na mesma pasta que o original - às vezes , no entanto, o arquivo será salvo na pasta% TEMP% - se, por exemplo, a unidade está cheio demais para permitir a criação de um arquivo temporário. Por fim - o Word às vezes cria um Autorecovery do arquivo em questão, mais uma vez na pasta% TEMP%!

3) O nome do arquivo pode ou não aparecer no histórico do Explorer - isso pode ser removido, é claro, usando a função Delete History do INTERNET Explorer.

4) Último de tudo: bom ol 'hiberfil.sys e pagefile.sys. Hiberfil.sys é uma cópia do conteúdo da memória do computador usado para armazenar o estado da máquina para hibernação. Pagefile.sys é o arquivo de troca (usado para memória virtual). É teoricamente possível recuperar pedaços de arquivos ou arquivos confidenciais do arquivo de paginação ou do arquivo de hibernação, mesmo que o arquivo confidencial tenha sido carregado de uma unidade removível. No entanto, a menos que o computador tenha sofrido um desligamento (ou seja, perda de energia) durante a edição, parece improvável que até mesmo o melhor especialista em computação forense teria um tempo fácil para recuperar dados em tal assunto, ou teria a motivação para tentar. A menos que você esteja editando / visualizando dados secretos governamentais ou corporativos ou dados confidenciais que possam colocar em risco a vida ou a subsistência de outras pessoas se os dados forem comprometidos ou visualizados por terceiros, provavelmente isso não é algo para se preocupar.

Microsoft Windows operating systems records artifacts when USB removable storage devices (thumb drives, iPods, digital cameras, external HDD, etc.) are connected to the system.

mais explicações sobre como ver este UUIDs e informações aqui link

é para a parte de traços, ..

sobre os documentos: limpar os diretórios temporários e documentos recentes é uma boa ideia. você pode usar uma versão portátil do CCleaner para fazer isso.

sobre o arquivo de paginação: uma reinicialização deve resolver isso. mas você nunca está a salvo de um ColdBoot Attack