Операционната система Microsoft Windows записва информация за предпочитанията за гледане на прозорци - известни като информация на ShellBag - в системния регистър на Windows.
Той следи няколко информации като размер, режим на изглед, икона, време и дата на достъп и позиция на папка, когато потребителят използва Windows Explorer.
Това, което прави информацията за Shellbag интересна, е фактът, че Windows не ги изтрива, когато папката се изтрие, което означава, че информацията може да се използва за доказване на съществуването на папки в системата.
Криминалистите използват информацията, например, за да следят кои папки е получил потребител. Може да се използва за търсене, когато папката е била последно посетена, модифицирана или създадена в система.
Информацията може да се използва и за показване на съдържание на подвижни устройства за съхранение, които са били свързани към компютъра в миналото, както и информация за криптирани томове, които са били монтирани в системата преди.
Преглед
Shellbags са създадени, когато потребителят посети папка в операционната система поне веднъж. Това означава, че те могат да бъдат използвани, за да се докаже, че потребителят е получил достъп до определена папка поне веднъж преди това.
Windows записва информацията в следните ключове на системния регистър:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Чанти
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Ако анализирате структурата на BagMRU, ще забележите много цели числа, съхранявани под главния ключ. Windows съхранява тук информация за наскоро отворените папки. Всеки елемент е свързан с подпапка в системата, която се идентифицира по двоична дата, съхранена в тези подпапки.
Клавишът Bags от друга страна съхранява информация за всяка папка, включително настройките на дисплея.
Допълнителна информация за структурата се предоставя от хартия, наречена "Използване на информация за Shellbag за реконструкция на потребителски дейности", която можете да изтеглите с щракване върху следната връзка: p69-zhu.pdf
Можете да изтриете ключовете на системния регистър според Microsoft, за да нулирате настройките за всички папки:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Чанти
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Чанти
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ Чанти
В 64-битови системи допълнително:
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Wow6432Нод \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ Чанти
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Wow6432Нод \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ BagMRU
След това създайте отново следните клавиши:
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ Чанти
В 64-битови системи допълнително:
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Wow6432Нод \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ Чанти
- HKEY_CURRENT_USER \ Софтуер \ Класове \ Wow6432Нод \ Локални настройки \ Софтуер \ Microsoft \ Windows \ Shell \ BagMRU
Софтуерни анализатори
Софтуерът е създаден, за да анализира информацията и да я показва по лесен за анализ начин. За тази цел има доста програми. Някои от тях са създадени за извличане на криминалистични доказателства, докато други за почистване на данните за поверителност.
Shellbag Analyzer & Cleaner е безплатна програма от производителите на PrivaZer, която може да показва и премахва информация, свързана с Shellbag.
Трябва да кликнете върху бутона за анализ, за да сканирате системата за информация, свързана с Shellbag. Приложението показва всички записи, съществуващи и за папки, които са били изтрити, по подразбиране.
Можете да използвате менюто в горната част, за да показвате само изтрити папки, мрежови папки, резултати от търсенето, съществуващи папки или контролен панел и системни папки.
Всеки запис се показва със своето име и път, последния път, когато е посетен, неговия тип, ключ на слот в Регистъра, създаване, модификация и време и дата на достъп, както и положение и размер на прозорците.
Щракнете върху опции за изчистване на дисплея, за да премахнете от системата специфични видове информация, но не и отделни записи. Ако щракнете върху разширени опции, получавате допълнителни функции, като опция за презапис на информация, архивиране или кодиране на датите.
В края се показва съобщение за успех, което ви информира за състоянието на операцията.
Ето някои алтернативи, които можете да използвате вместо:
- Shellbags е кросплатформен анализатор, написан на Python.
- Windows Shellbag Parser е приложение за конзола на Windows
