A Microsoft Windows operációs rendszer az ablakmegtekintési beállításokkal - ShellBag információk néven - információkat rögzíti a Windows rendszerleíró adatbázisban.
Figyelemmel kíséri számos információt, például a méret, a nézet mód, az ikon, a hozzáférési idő és dátum, valamint a mappa helyét, amikor a felhasználó használja a Windows Intézőt.
A Shellbag adatait érdekessé teszi az a tény, hogy a Windows nem törli őket, amikor a mappát törli, ami azt jelenti, hogy az információk felhasználhatók a mappák létezésének igazolására a rendszeren.
A kriminalisztika például az információkat használja annak nyomon követésére, hogy a felhasználó mely mappáihoz fér hozzá. Használható arra, hogy megkeresse, amikor egy mappát utoljára meglátogattak, módosítottak vagy létrehoztak egy rendszeren.
Az információk felhasználhatók a korábban a számítógéphez csatlakoztatott cserélhető tárolóeszközök tartalmának, valamint a rendszerbe korábban a rendszerre telepített titkosított kötetek megjelenítésére is.
Áttekintés
A héjzsákok akkor jönnek létre, amikor a felhasználó legalább egyszer meglátogat egy mappát az operációs rendszeren. Ez azt jelenti, hogy ezek felhasználhatók annak igazolására, hogy a felhasználó legalább egyszer lépett be egy adott mappába.
A Windows az információkat a következő rendszerleíró kulcsokba menti:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ táskák
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Ha elemezi a BagMRU struktúráját, sok egész számot fog észlelni, amelyek a fő kulcs alatt vannak tárolva. A Windows itt tárolja a nemrégiben megnyitott mappákra vonatkozó információkat. Minden elem a rendszer almappájához kapcsolódik, amelyet az almappákban tárolt bináris dátum azonosít.
A Táskák gomb viszont az egyes mappákkal kapcsolatos információkat tárolja, beleértve a megjelenítési beállításokat.
A struktúráról további információkat a "Shellbag információk felhasználása a felhasználói tevékenységek rekonstruálásában" című cikk nyújt, amely letölthető a következő linkre kattintva: p69-zhu.pdf
A Microsoft szerint törölheti a rendszerleíró kulcsot, és az összes mappa beállítását visszaállíthatja:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ táskák
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ táskák
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ Táskák
64 bites rendszereken:
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Wow6432Node \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ Táskák
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Wow6432Node \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ BagMRU
Ezután hozza létre újra a következő kulcsokat:
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ Táskák
64 bites rendszereken:
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Wow6432Node \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ Táskák
- HKEY_CURRENT_USER \ Szoftver \ Osztályok \ Wow6432Node \ Helyi beállítások \ Szoftver \ Microsoft \ Windows \ Shell \ BagMRU
Szoftver elemzők
Azért készült szoftver, hogy elemezze az információkat, és könnyen elemzhető módon jelenítse meg azokat. Erre a célra nagyon sok program áll rendelkezésre. Néhányat azért hoztak létre, hogy kriminalisztikai bizonyítékokat szerezzen, míg mások az adatokat az adatvédelem érdekében tisztítsák meg.
A Shellbag Analyzer & Cleaner a PrivaZer gyártói által készített ingyenes program, amely megjelenítheti és eltávolíthatja a Shellbag-hoz kapcsolódó információkat.
Ha ki kell keresnie a rendszert a Shellbag-hoz kapcsolódó információkkal, akkor kattintson az elemzés gombra. Az alkalmazás alapértelmezés szerint megjeleníti az összes bejegyzést, a meglévőket és a törölt mappákat.
A felső menü segítségével csak a törölt mappákat, a hálózati mappákat, a keresési eredményeket, a meglévő mappákat vagy a kezelőpanel és a rendszer mappákat jelenítheti meg.
Minden bejegyzés megjelenik a nevével és elérési útjával, a legutóbbi látogatáskor, a típusával, a rendszerleíró adatbázisban található nyíl kulcskal, a létrehozás, a módosítás és a hozzáférés idejével és dátumával, valamint az ablakok helyzetével és méretével.
A tiszta gombra kattintva megjelenik az opciók, hogy eltávolítsanak bizonyos típusú információkat, de nem az egyes bejegyzéseket, a rendszerből. Ha rákattint a speciális opciókra, akkor további funkciókat kap, például egy lehetőséget, hogy felülírja az információkat, készítsen biztonsági másolatot vagy összekeverje a dátumokat.
A végén egy sikeres üzenet jelenik meg, amely tájékoztatja a művelet állapotáról.
Íme néhány alternatíva, amelyeket ehelyett használhat:
- A Shellbags egy platformon átívelő elemző, Python-ban írva.
- A Windows Shellbag Parser egy Windows konzol alkalmazás
