Operačný systém Microsoft Windows zaznamenáva informácie o preferenciách zobrazenia okna - známe ako informácie ShellBag - do registra Windows.
Sleduje niekoľko informácií, ako napríklad veľkosť, režim zobrazenia, ikona, čas a dátum prístupu a poloha priečinka, keď používateľ používa program Windows Prieskumník.
Zaujímavosťou informácií spoločnosti Shellbag je skutočnosť, že systém Windows ich neodstráni po odstránení priečinka, čo znamená, že tieto informácie možno použiť na preukázanie existencie priečinkov v systéme.
Forenzníci používajú tieto informácie napríklad na sledovanie toho, do ktorých priečinkov má používateľ prístup. Môže sa použiť na vyhľadanie, kedy bol priečinok naposledy navštívený, upravený alebo vytvorený v systéme.
Tieto informácie sa môžu tiež použiť na zobrazenie obsahu vymeniteľných úložných zariadení, ktoré boli v minulosti pripojené k počítaču, ako aj informácií o šifrovaných zväzkoch, ktoré boli predtým do systému namontované.
Prehľad
Shellbags sa vytvárajú, keď používateľ navštívi priečinok v operačnom systéme najmenej raz. To znamená, že ich možno použiť na preukázanie toho, že používateľ pristupoval do konkrétneho priečinka aspoň raz predtým.
Systém Windows ukladá informácie do nasledujúcich kľúčov databázy Registry:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Ak analyzujete štruktúru BagMRU, všimnete si veľa celých čísel uložených pod hlavným kľúčom. Systém Windows tu ukladá informácie o naposledy otvorených priečinkoch. Každá položka súvisí s podpriečinkom v systéme, ktorý je identifikovaný binárnym dátumom uloženým v týchto podpriečinkoch.
Klávesy Tašky na druhej strane ukladajú informácie o každej zložke vrátane jej nastavení zobrazenia.
Ďalšie informácie o štruktúre poskytuje dokument nazvaný „Používanie informácií spoločnosti Shellbag na rekonštrukciu užívateľských aktivít“, ktorý si môžete stiahnuť kliknutím na nasledujúci odkaz: p69-zhu.pdf
Kľúče databázy Registry môžete odstrániť podľa spoločnosti Microsoft a obnoviť tak nastavenia všetkých priečinkov:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Tašky
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Na 64-bitových systémoch navyše:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Potom znova vytvorte nasledujúce kľúče:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Na 64-bitových systémoch navyše:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Softvérové analyzátory
Softvér bol vytvorený na analyzovanie informácií a ich jednoduché analyzovanie. Na tento účel je k dispozícii pomerne málo programov. Niektoré boli vytvorené za účelom získania forenzných dôkazov, zatiaľ čo iné na vyčistenie údajov z dôvodu ochrany osobných údajov.
Shellbag Analyzer & Cleaner je bezplatný program výrobcov PrivaZer, ktorý dokáže zobrazovať a odstraňovať informácie týkajúce sa Shellbag.
Musíte kliknúť na tlačidlo analýzy, aby ste preverili systém, či neobsahujú informácie súvisiace so spoločnosťou Shellbag. Aplikácia predvolene zobrazuje všetky záznamy, existujúce a pre priečinky, ktoré boli odstránené.
Pomocou ponuky v hornej časti môžete zobraziť iba odstránené priečinky, sieťové priečinky, výsledky vyhľadávania, existujúce priečinky alebo ovládacie panely a systémové priečinky.
Každá položka sa zobrazuje s názvom a cestou, naposledy, keď bola navštívená, jej typom, kľúčom slotu v registri, vytvorením, úpravou a časom prístupu a dátumom, ako aj pozíciou a veľkosťou okna.
Kliknutím na čisté zobrazenie sa zobrazia možnosti na odstránenie konkrétnych typov informácií, ale nie jednotlivých položiek, zo systému. Ak kliknete na rozšírené možnosti, získate ďalšie funkcie, ako napríklad možnosť prepísať informácie, zálohovať alebo skódovať dátumy.
Na konci sa zobrazí správa o úspechu, ktorá vás informuje o stave operácie.
Tu je niekoľko alternatív, ktoré môžete použiť:
- Shellbags je multiplatformový syntaktický analyzátor napísaný v jazyku Python.
- Windows Shellbag Parser je aplikácia konzoly Windows
