Операционная система Microsoft Windows записывает информацию о настройках просмотра окна - известную как информация ShellBag - в реестре Windows.
Он отслеживает несколько сведений, таких как размер, режим просмотра, значок, время доступа и дата, а также положение папки, когда пользователь использует проводник Windows.
Что делает информацию Shellbag интересной, так это то, что Windows не удаляет их при удалении папки, что означает, что эта информация может быть использована для доказательства существования папок в системе.
Криминалисты используют эту информацию, например, чтобы отслеживать, к каким папкам обратился пользователь. Его можно использовать для поиска, когда папка последний раз посещалась, изменялась или создавалась в системе.
Эта информация также может использоваться для отображения содержимого съемных запоминающих устройств, которые были подключены к компьютеру в прошлом, а также информации о зашифрованных томах, которые были установлены в системе ранее.
обзор
Shellbags создаются, когда пользователь посещает папку в операционной системе хотя бы один раз. Это означает, что их можно использовать, чтобы доказать, что пользователь получил доступ к определенной папке хотя бы один раз.
Windows сохраняет информацию в следующие разделы реестра:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ параметр BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Если вы проанализируете структуру BagMRU, вы заметите много целых чисел, хранящихся под основным ключом. Windows хранит информацию о недавно открытых папках здесь. Каждый элемент связан с подпапкой в системе, которая идентифицируется двоичной датой, хранящейся в этих подпапках.
Клавиша Bags с другой стороны хранит информацию о каждой папке, включая ее настройки отображения.
Дополнительную информацию о структуре предоставляет документ под названием «Использование информации Shellbag для реконструкции действий пользователей», который можно скачать, щелкнув по следующей ссылке: p69-zhu.pdf
Вы можете удалить ключи реестра в соответствии с Microsoft, чтобы сбросить настройки для всех папок:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ параметр BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ параметр BagMRU
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ Bags
На 64-битных системах дополнительно:
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Wow6432Node \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Wow6432Node \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
После этого заново создайте следующие ключи:
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ Bags
На 64-битных системах дополнительно:
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Wow6432Node \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Программное обеспечение \ Классы \ Wow6432Node \ Локальные настройки \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
Программные парсеры
Программное обеспечение было создано, чтобы анализировать информацию и отображать ее в удобном для анализа виде. Для этой цели доступно довольно много программ. Некоторые из них были созданы для получения улик, а другие - для очистки данных в целях конфиденциальности.
Shellbag Analyzer & Cleaner - бесплатная программа создателей PrivaZer, которая может отображать и удалять информацию, связанную с Shellbag.
Вам нужно нажать на кнопку анализа, чтобы просканировать систему на предмет информации, связанной с Shellbag. Приложение отображает все записи, существующие и для папок, которые были удалены, по умолчанию.
Вы можете использовать меню сверху, чтобы отображать только удаленные папки, сетевые папки, результаты поиска, существующие папки или панель управления и системные папки.
Каждая запись отображается с ее именем и путем, последним посещением, ее типом, ключом слота в реестре, временем и датой создания, изменения и доступа, а также позицией и размером окна.
Нажатие на кнопку «Очистить» отображает параметры для удаления определенных типов информации, но не отдельных записей, из системы. Если вы нажмете на дополнительные параметры, вы получите дополнительные функции, такие как возможность перезаписи информации, резервного копирования или шифрования дат.
В конце отображается сообщение об успешном завершении, информирующее вас о состоянии операции.
Вот несколько альтернатив, которые вы можете использовать вместо:
- Shellbags - это кроссплатформенный парсер, написанный на Python.
- Windows Shellbag Parser - консольное приложение Windows
