Operační systém Microsoft Windows zaznamenává informace o předvolbách zobrazení okna - známé jako informace ShellBag - do registru Windows.
Sleduje několik informací, jako je velikost, režim zobrazení, ikona, čas a datum přístupu a pozice složky, když uživatel používá Průzkumníka Windows.
Zajímavostí informací Shellbag je skutečnost, že Windows je neodstraňuje, když je složka odstraněna, což znamená, že tyto informace lze použít k prokázání existence složek v systému.
Forenzní informace používají například k sledování, ke kterým složkám má uživatel přístup. Může být použit k vyhledání, kdy byla složka naposledy navštívena, změněna nebo vytvořena v systému.
Tyto informace lze také použít k zobrazení obsahu vyměnitelných úložných zařízení, která byla v minulosti připojena k počítači, a také k informacím o šifrovaných svazcích, které byly dříve do systému připojeny.
Přehled
Shellbags jsou vytvářeny, když uživatel navštíví složku v operačním systému alespoň jednou. To znamená, že je lze použít k prokázání, že uživatel přistoupil k určité složce alespoň jednou předtím.
Systém Windows uloží informace do následujících klíčů registru:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Pokud analyzujete strukturu BagMRU, všimnete si mnoha celých čísel uložených pod hlavním klíčem. Windows zde ukládá informace o nedávno otevřených složkách. Každá položka souvisí s podsložkou v systému, která je identifikována binárním datem uloženým v těchto podsložkách.
Klávesa Bags na druhé straně ukládá informace o každé složce včetně nastavení zobrazení.
Další informace o struktuře jsou poskytovány v článku nazvaném „Použití informací společnosti Shellbag k rekonstrukci uživatelských aktivit“, který si můžete stáhnout kliknutím na následující odkaz: p69-zhu.pdf
Můžete odstranit klíče registru podle společnosti Microsoft a obnovit nastavení pro všechny složky:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Na 64bitových systémech navíc:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Poté znovu vytvořte následující klíče:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Na 64bitových systémech navíc:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Softwarové analyzátory
Byl vytvořen software, který analyzuje informace a zobrazuje je snadno analyzovatelným způsobem. Pro tento účel je k dispozici poměrně málo programů. Některé byly vytvořeny za účelem získání forenzních důkazů, zatímco jiné za účelem vyčištění dat z důvodu ochrany soukromí.
Shellbag Analyzer & Cleaner je bezplatný program výrobců PrivaZer, který umí zobrazovat a odstraňovat informace související s Shellbag.
Musíte kliknout na tlačítko analýzy a prohledat v systému informace týkající se Shellbag. Aplikace ve výchozím nastavení zobrazuje všechny položky, existující i pro složky, které byly odstraněny.
Pomocí nabídky v horní části můžete zobrazit pouze odstraněné složky, síťové složky, výsledky hledání, existující složky nebo ovládací panel a systémové složky.
Každá položka je zobrazena s názvem a cestou, při poslední návštěvě, jejím typem, klíčem slotu v registru, vytvořením, úpravou a časem a datem přístupu, jakož i pozicí a velikostí oken.
Kliknutím na možnost čistého zobrazení se ze systému odstraní konkrétní typy informací, nikoli však jednotlivé položky. Pokud kliknete na pokročilé možnosti, získáte další funkce, jako je například možnost přepsat informace, zálohovat nebo zkódovat data.
Na konci se zobrazí zpráva o úspěchu, která vás informuje o stavu operace.
Zde je několik alternativ, které můžete použít:
- Shellbags je analyzátor napříč platformami napsaný v Pythonu.
- Windows Shellbag Parser je konzolová aplikace systému Windows
