Microsoft Windows-operativsystemet registrerer informasjon om innstillinger for vindusvisning - kjent som ShellBag-informasjon - i Windows-registeret.
Den holder oversikt over flere opplysninger som størrelse, visningsmodus, ikon, tilgangstid og dato og plassering av en mappe når en bruker bruker Windows Utforsker.
Det som gjør Shellbag-informasjonen interessant, er det faktum at Windows ikke sletter dem når mappen blir slettet, noe som betyr at informasjonen kan brukes til å bevise at det finnes mapper på systemet.
Rettsmedisiner bruker informasjonen for eksempel for å holde oversikt over hvilke mapper en bruker har fått tilgang til. Den kan brukes til å slå opp når en mappe sist ble besøkt, endret eller opprettet på et system.
Informasjonen kan også brukes til å vise innhold på flyttbare lagringsenheter som tidligere var koblet til datamaskinen, og også informasjon om krypterte volumer som var montert på systemet før.
Oversikt
Skjellvesker opprettes når en bruker besøker en mappe på operativsystemet minst en gang. Dette betyr at de kan brukes til å bevise at en bruker har tilgang til en bestemt mappe minst en gang før.
Windows lagrer informasjonen til følgende registernøkler:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Vesker
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Hvis du analyserer BagMRU-strukturen, vil du merke mange tall som er lagret under hovednøkkelen. Windows lagrer informasjon om de nylig åpnede mappene her. Hvert element er relatert til en undermappe på systemet som identifiseres etter binær dato lagret i disse undermappene.
Posen-tasten lagrer derimot informasjon om hver mappe inkludert skjerminnstillinger.
Ytterligere informasjon om strukturen er gitt av et papir som heter "Bruke Shellbag-informasjon for å rekonstruere brukeraktiviteter" som du kan laste ned med et klikk på følgende lenke: p69-zhu.pdf
Du kan slette registernøkler i henhold til Microsoft for å tilbakestille innstillingene for alle mapper:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Vesker
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Vesker
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Programvare \ Klasser \ Lokale innstillinger \ Programvare \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-biters systemer i tillegg:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programvare \ Klasser \ Wow6432Node \ Lokale innstillinger \ Programvare \ Microsoft \ Windows \ Shell \ BagMRU
Etterpå kan du opprette følgende taster:
- HKEY_CURRENT_USER \ Programvare \ Klasser \ Lokale innstillinger \ Programvare \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
På 64-biters systemer i tillegg:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programvare \ Klasser \ Wow6432Node \ Lokale innstillinger \ Programvare \ Microsoft \ Windows \ Shell \ BagMRU
Analysere av programvare
Programvare er laget for å analysere informasjonen og vise den på en enkel å analysere måte. Det er ganske mange programmer tilgjengelig for det formålet. Noen er opprettet for å hente rettsmedisinske bevis, mens andre for å rense dataene for personvern.
Shellbag Analyzer & Cleaner er et gratis program av produsentene av PrivaZer som kan vise og fjerne Shellbag-relatert informasjon.
Du må klikke på analyseknappen for å skanne systemet for Shellbag-relatert informasjon. Applikasjonen viser alle oppføringer, eksisterende og for mapper som er blitt slettet, som standard.
Du kan bruke menyen øverst til bare å vise slettede mapper, nettverksmapper, søkeresultater, eksisterende mapper eller kontrollpanel og systemmapper.
Hver oppføring vises med navn og bane, forrige gang den ble besøkt, sin type, spaltast i registeret, oppretting, endring og tilgangstid og dato samt vinduets plassering og størrelse.
Et klikk på rent viser alternativer for å fjerne bestemte typer informasjon, men ikke individuelle oppføringer, fra systemet. Hvis du klikker på avanserte alternativer, får du flere funksjoner som et alternativ for å overskrive informasjonen, sikkerhetskopiere eller kryptere datoene.
En suksessmelding vises til slutt som informerer deg om status for operasjonen.
Her er noen alternativer som du kan bruke i stedet:
- Shellbags er en tverrplattform-parser skrevet i Python.
- Windows Shellbag Parser er et Windows-konsollprogram
