Jak usunąć stare wpisy Shellbag w Windows dla prywatności

System operacyjny Microsoft Windows rejestruje informacje o preferencjach wyświetlania okna - znane jako informacje ShellBag - w rejestrze systemu Windows.

Śledzi kilka informacji, takich jak rozmiar, tryb widoku, ikona, czas i data dostępu oraz położenie folderu, gdy użytkownik korzysta z Eksploratora Windows.

To, co sprawia, że ​​informacje Shellbag są interesujące, to fakt, że system Windows nie usuwa ich po usunięciu folderu, co oznacza, że ​​informacje można wykorzystać do udowodnienia istnienia folderów w systemie.

Forensics wykorzystuje te informacje na przykład do śledzenia folderów, do których użytkownik uzyskał dostęp. Można go użyć do sprawdzenia, kiedy folder był ostatnio odwiedzany, modyfikowany lub tworzony w systemie.

Informacje te mogą być również wykorzystane do wyświetlenia zawartości wymiennych urządzeń pamięci masowej, które były wcześniej podłączone do komputera, a także informacji o zaszyfrowanych woluminach, które były wcześniej montowane w systemie.

Przegląd

Worki są tworzone, gdy użytkownik odwiedza folder w systemie operacyjnym co najmniej raz. Oznacza to, że można ich użyć do udowodnienia, że ​​użytkownik przynajmniej raz uzyskał dostęp do określonego folderu.

System Windows zapisuje informacje w następujących kluczach rejestru:

  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Jeśli przeanalizujesz strukturę BagMRU, zauważysz wiele liczb całkowitych zapisanych pod kluczem głównym. System Windows przechowuje tutaj informacje o ostatnio otwieranych folderach. Każdy element jest powiązany z podfolderem w systemie, który jest identyfikowany przez datę binarną przechowywaną w tych podfolderach.

Z drugiej strony klawisz Torby przechowuje informacje o każdym folderze, w tym jego ustawienia wyświetlania.

Dodatkowe informacje o strukturze dostarcza artykuł zatytułowany „Korzystanie z informacji Shellbag w celu zrekonstruowania działań użytkownika”, który można pobrać, klikając poniższy link: p69-zhu.pdf

Możesz usunąć klucze rejestru według Microsoft, aby zresetować ustawienia dla wszystkich folderów:

  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

W systemach 64-bitowych dodatkowo:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ Torby
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Następnie utwórz ponownie następujące klucze:

  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

W systemach 64-bitowych dodatkowo:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ Torby
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Parsery oprogramowania

Stworzono oprogramowanie do analizowania informacji i wyświetlania ich w łatwy do analizy sposób. Do tego celu dostępnych jest sporo programów. Niektóre zostały utworzone w celu wyszukiwania dowodów kryminalistycznych, a inne w celu oczyszczenia danych w celu zachowania prywatności.

Shellbag Analyzer & Cleaner to darmowy program twórców PrivaZer, który może wyświetlać i usuwać informacje związane z Shellbag.

Musisz kliknąć przycisk analizy, aby przeskanować system w poszukiwaniu informacji związanych z Shellbag. Domyślnie aplikacja wyświetla wszystkie wpisy, istniejące i foldery, które zostały usunięte.

Możesz użyć menu u góry, aby wyświetlić tylko usunięte foldery, foldery sieciowe, wyniki wyszukiwania, istniejące foldery lub panel sterowania i foldery systemowe.

Każda pozycja jest wyświetlana wraz z nazwą i ścieżką, ostatnim razem, jej typem, kluczem do rejestru, czasem, datą utworzenia, modyfikacji i dostępu, a także pozycją i rozmiarem okna.

Kliknięcie na czysty wyświetla opcje usuwania określonych rodzajów informacji, ale nie poszczególnych wpisów, z systemu. Po kliknięciu opcji zaawansowanych otrzymasz dodatkowe funkcje, takie jak możliwość zastąpienia informacji, wykonania kopii zapasowej lub wymieszania dat.

Na końcu wyświetla się komunikat informujący o stanie operacji.

Oto kilka alternatyw, których możesz użyć zamiast tego:

  • Shellbags to wieloplatformowy parser napisany w języku Python.
  • Windows Shellbag Parser to aplikacja konsoli Windows