Microsoft Windows-operativsystemet registrerar information om inställningar för fönstervisning - känd som ShellBag-information - i Windows-registret.
Den håller reda på flera information som storlek, visningsläge, ikon, åtkomsttid och datum och position för en mapp när en användare använder Windows Utforskaren.
Det som gör Shellbag-information intressant är det faktum att Windows inte tar bort dem när mappen raderas vilket innebär att informationen kan användas för att bevisa att det finns mappar i systemet.
Kriminaltekniker använder informationen till exempel för att hålla reda på vilka mappar en användare har åtkomst till. Den kan användas för att slå upp när en mapp senast besökte, modifierades eller skapades i ett system.
Informationen kan också användas för att visa innehåll i flyttbara lagringsenheter som tidigare var anslutna till datorn, och även information om krypterade volymer som var monterade på systemet tidigare.
Översikt
Skalväskor skapas när en användare besöker en mapp i operativsystemet minst en gång. Detta innebär att de kan användas för att bevisa att en användare har åtkomst till en viss mapp minst en gång tidigare.
Windows sparar informationen på följande registernycklar:
- HKEY_USERS \ ID \ SOFTWARE \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Om du analyserar BagMRU-strukturen kommer du att märka många heltal lagrade under huvudnyckeln. Windows lagrar information om de nyligen öppnade mapparna här. Varje objekt är relaterat till en undermapp på systemet som identifieras med binärt datum lagrat i dessa undermappar.
Påsar-knappen å andra sidan lagrar information om varje mapp inklusive dess skärminställningar.
Ytterligare information om strukturen tillhandahålls av ett papper som heter "Använda Shellbag-information för att rekonstruera användaraktiviteter" som du kan ladda ner med ett klick på följande länk: p69-zhu.pdf
Du kan ta bort registernycklarna enligt Microsoft för att återställa inställningarna för alla mappar:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Programvara \ Klasser \ Lokala inställningar \ Programvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-bitars system dessutom:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programvara \ Klasser \ Wow6432Nod \ Lokala inställningar \ Programvara \ Microsoft \ Windows \ Shell \ BagMRU
Skapa sedan följande nycklar:
- HKEY_CURRENT_USER \ Programvara \ Klasser \ Lokala inställningar \ Programvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-bitars system dessutom:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programvara \ Klasser \ Wow6432Nod \ Lokala inställningar \ Programvara \ Microsoft \ Windows \ Shell \ BagMRU
Programvarupartare
Programvara har skapats för att analysera informationen och visa den på ett lättanalyserat sätt. Det finns ganska många program tillgängliga för det ändamålet. Vissa har skapats för att hämta kriminaltekniska bevis medan andra för att rengöra uppgifterna för integritet.
Shellbag Analyzer & Cleaner är ett gratis program av tillverkarna av PrivaZer som kan visa och ta bort Shellbag-relaterad information.
Du måste klicka på analysknappen för att skanna systemet efter Shellbag-relaterad information. Programmet visar alla poster, befintliga och för mappar som har tagits bort som standard.
Du kan använda menyn längst upp för att bara visa raderade mappar, nätverksmappar, sökresultat, befintliga mappar eller kontrollpanelen och systemmappar.
Varje post visas med namn och sökväg, den senaste gången den besökades, dess typ, kortnyckel i registret, skapande, ändring och åtkomsttid och datum samt fönsterposition och storlek.
Ett klick på ren visar alternativ för att ta bort specifika typer av information, men inte enskilda poster, från systemet. Om du klickar på avancerade alternativ får du ytterligare funktioner, till exempel ett alternativ för att skriva över informationen, säkerhetskopiera eller krypta datumen.
Ett slutmeddelande visas i slutändan som informerar dig om operationens status.
Här är några alternativ som du kan använda istället:
- Shellbags är en korsplattforms-parser skriven i Python.
- Windows Shellbag Parser är ett Windows-konsolapplikation
