System operacyjny Microsoft Windows rejestruje informacje o preferencjach wyświetlania okna - znane jako informacje ShellBag - w rejestrze systemu Windows.
Śledzi kilka informacji, takich jak rozmiar, tryb widoku, ikona, czas i data dostępu oraz położenie folderu, gdy użytkownik korzysta z Eksploratora Windows.
To, co sprawia, że informacje Shellbag są interesujące, to fakt, że system Windows nie usuwa ich po usunięciu folderu, co oznacza, że informacje można wykorzystać do udowodnienia istnienia folderów w systemie.
Forensics wykorzystuje te informacje na przykład do śledzenia folderów, do których użytkownik uzyskał dostęp. Można go użyć do sprawdzenia, kiedy folder był ostatnio odwiedzany, modyfikowany lub tworzony w systemie.
Informacje te mogą być również wykorzystane do wyświetlenia zawartości wymiennych urządzeń pamięci masowej, które były wcześniej podłączone do komputera, a także informacji o zaszyfrowanych woluminach, które były wcześniej montowane w systemie.
Przegląd
Worki są tworzone, gdy użytkownik odwiedza folder w systemie operacyjnym co najmniej raz. Oznacza to, że można ich użyć do udowodnienia, że użytkownik przynajmniej raz uzyskał dostęp do określonego folderu.
System Windows zapisuje informacje w następujących kluczach rejestru:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Jeśli przeanalizujesz strukturę BagMRU, zauważysz wiele liczb całkowitych zapisanych pod kluczem głównym. System Windows przechowuje tutaj informacje o ostatnio otwieranych folderach. Każdy element jest powiązany z podfolderem w systemie, który jest identyfikowany przez datę binarną przechowywaną w tych podfolderach.
Z drugiej strony klawisz Torby przechowuje informacje o każdym folderze, w tym jego ustawienia wyświetlania.
Dodatkowe informacje o strukturze dostarcza artykuł zatytułowany „Korzystanie z informacji Shellbag w celu zrekonstruowania działań użytkownika”, który można pobrać, klikając poniższy link: p69-zhu.pdf
Możesz usunąć klucze rejestru według Microsoft, aby zresetować ustawienia dla wszystkich folderów:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
W systemach 64-bitowych dodatkowo:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ Torby
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Następnie utwórz ponownie następujące klucze:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
W systemach 64-bitowych dodatkowo:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ Torby
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Ustawienia lokalne \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Parsery oprogramowania
Stworzono oprogramowanie do analizowania informacji i wyświetlania ich w łatwy do analizy sposób. Do tego celu dostępnych jest sporo programów. Niektóre zostały utworzone w celu wyszukiwania dowodów kryminalistycznych, a inne w celu oczyszczenia danych w celu zachowania prywatności.
Shellbag Analyzer & Cleaner to darmowy program twórców PrivaZer, który może wyświetlać i usuwać informacje związane z Shellbag.
Musisz kliknąć przycisk analizy, aby przeskanować system w poszukiwaniu informacji związanych z Shellbag. Domyślnie aplikacja wyświetla wszystkie wpisy, istniejące i foldery, które zostały usunięte.
Możesz użyć menu u góry, aby wyświetlić tylko usunięte foldery, foldery sieciowe, wyniki wyszukiwania, istniejące foldery lub panel sterowania i foldery systemowe.
Każda pozycja jest wyświetlana wraz z nazwą i ścieżką, ostatnim razem, jej typem, kluczem do rejestru, czasem, datą utworzenia, modyfikacji i dostępu, a także pozycją i rozmiarem okna.
Kliknięcie na czysty wyświetla opcje usuwania określonych rodzajów informacji, ale nie poszczególnych wpisów, z systemu. Po kliknięciu opcji zaawansowanych otrzymasz dodatkowe funkcje, takie jak możliwość zastąpienia informacji, wykonania kopii zapasowej lub wymieszania dat.
Na końcu wyświetla się komunikat informujący o stanie operacji.
Oto kilka alternatyw, których możesz użyć zamiast tego:
- Shellbags to wieloplatformowy parser napisany w języku Python.
- Windows Shellbag Parser to aplikacja konsoli Windows