Microsoft Windows-operativsystemet registrerer oplysninger om indstillinger for vinduesvisning - kendt som ShellBag-oplysninger - i Windows-registreringsdatabasen.
Det holder styr på adskillige oplysninger, såsom størrelse, visningstilstand, ikon, adgangstid og dato og placering af en mappe, når en bruger bruger Windows Stifinder.
Det, der gør Shellbag-oplysninger interessante, er det faktum, at Windows ikke sletter dem, når mappen bliver slettet, hvilket betyder, at informationen kan bruges til at bevise, at der findes mapper på systemet.
Forensics bruger informationen for eksempel til at holde styr på, hvilke mapper en bruger har adgang til. Den kan bruges til at slå op, når en mappe sidst blev besøgt, ændret eller oprettet på et system.
Oplysningerne kan også bruges til at vise indholdet af flytbare lagerenheder, der tidligere var tilsluttet computeren, og også information om krypterede mængder, der var monteret på systemet før.
Oversigt
Shellbags oprettes, når en bruger besøger en mappe på operativsystemet mindst én gang. Dette betyder, at de kan bruges til at bevise, at en bruger har adgang til en bestemt mappe mindst én gang før.
Windows gemmer oplysningerne på følgende registreringsdatabase nøgler:
- HKEY_USERS \ id \ Software \ Microsoft \ Windows \ Shell \ Tasker
- HKEY_USERS \ id \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ id \ Software \ Microsoft \ Windows \ ShellNoRoam
Hvis du analyserer BagMRU-strukturen, vil du bemærke mange heltal, der er gemt under hovedtasten. Windows gemmer information om de nyligt åbne mapper her. Hvert element er relateret til en undermappe på systemet, der identificeres efter binær dato gemt i disse undermapper.
Bags-tasten på den anden side gemmer information om hver mappe inklusive dens displayindstillinger.
Yderligere oplysninger om strukturen leveres af et papir, der hedder "Brug af Shellbag-information til at rekonstruere brugeraktiviteter", som du kan downloade med et klik på følgende link: p69-zhu.pdf
Du kan slette registernøglerne i henhold til Microsoft for at nulstille indstillingerne for alle mapper:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Tasker
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Tasker
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Klasser \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Klasser \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-bit-systemer yderligere:
- HKEY_CURRENT_USER \ Software \ Klasser \ Wow6432Node \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Klasser \ Wow6432Node \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Bagefter skal du oprette følgende taster:
- HKEY_CURRENT_USER \ Software \ Klasser \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Klasser \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-bit-systemer yderligere:
- HKEY_CURRENT_USER \ Software \ Klasser \ Wow6432Node \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Klasser \ Wow6432Node \ Lokale indstillinger \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Software parsers
Der er oprettet software til at analysere oplysningerne og vise dem på en nem at analysere måde. Der er ganske mange programmer til rådighed til dette formål. Nogle er blevet oprettet for at hente kriminaltekniske beviser, mens andre for at rense dataene for privatlivets fred.
Shellbag Analyzer & Cleaner er et gratis program fra producenterne af PrivaZer, der kan vise og fjerne Shellbag-relaterede oplysninger.
Du skal klikke på analyseknappen for at scanne systemet for Shellbag-relaterede oplysninger. Programmet viser som standard alle poster, eksisterende og for mapper, der er blevet slettet.
Du kan bruge menuen øverst til kun at vise slettede mapper, netværksmapper, søgeresultater, eksisterende mapper eller kontrolpanel og systemmapper.
Hver post vises med navn og sti, sidste gang den blev besøgt, dens type, slot-nøgle i registreringsdatabasen, oprettelse, ændring og adgangstid og dato samt vinduernes placering og størrelse.
Et klik på ren viser muligheder for at fjerne specifikke typer information, men ikke individuelle poster, fra systemet. Hvis du klikker på avancerede indstillinger, får du yderligere funktioner, f.eks. En mulighed for at overskrive oplysningerne, sikkerhedskopiere eller kryptere datoerne.
En succesmeddelelse vises til sidst, der informerer dig om status for operationen.
Her er nogle alternativer, som du kan bruge i stedet for:
- Shellbags er en tvær-platform-parser skrevet i Python.
- Windows Shellbag Parser er et Windows-konsoleprogram
