Microsoft Windows operētājsistēma Windows reģistrā reģistrē informāciju par logu skatīšanas preferencēm - ko sauc par ShellBag informāciju.
Tajā tiek uzskaitīta tāda informācija kā, piemēram, lielums, skata režīms, ikona, piekļuves laiks un datums un mapes atrašanās vieta, kad lietotājs izmanto Windows Explorer.
Shellbag informāciju padara interesantu fakts, ka Windows tos neizdzēš, kad mape tiek izdzēsta, kas nozīmē, ka informāciju var izmantot, lai pierādītu mapju esamību sistēmā.
Kriminālistika izmanto informāciju, piemēram, lai izsekotu, kurām mapēm lietotājs ir piekļuvis. To var izmantot, lai meklētu, kad mape pēdējo reizi apmeklēta, modificēta vai izveidota sistēmā.
Informāciju var izmantot arī, lai parādītu noņemamo atmiņas ierīču saturu, kas iepriekš bija savienotas ar datoru, kā arī informāciju par šifrētiem apjomiem, kas iepriekš bija uzstādīti sistēmā.
Pārskats
Apvalku maisiņi tiek izveidoti, kad lietotājs vismaz vienu reizi apmeklē operētājsistēmas mapi. Tas nozīmē, ka tos var izmantot, lai pierādītu, ka lietotājs vismaz reizi iepriekš ir piekļuvis noteiktai mapei.
Windows saglabā informāciju šādās reģistra atslēgas:
- HKEY_USERS \ ID \ programmatūra \ Microsoft \ Windows \ Shell \ somas
- HKEY_USERS \ ID \ programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ programmatūra \ Microsoft \ Windows \ ShellNoRoam
Analizējot BagMRU struktūru, pamanīsit daudzus skaitļus, kas tiek glabāti zem galvenās atslēgas. Šeit Windows glabā informāciju par nesen atvērtām mapēm. Katrs vienums ir saistīts ar sistēmas apakšmapi, kuru identificē ar bināro datumu, kas tiek glabāts šajās apakšmapēs.
Turpretī taustiņš Somas saglabā informāciju par katru mapi, ieskaitot tās displeja iestatījumus.
Papildu informāciju par struktūru sniedz dokuments ar nosaukumu "Shellbag informācijas izmantošana lietotāju darbību rekonstruēšanai", kuru var lejupielādēt, noklikšķinot uz šīs saites: p69-zhu.pdf
Jūs varat izdzēst reģistra atslēgas saskaņā ar Microsoft, lai atiestatītu visu mapju iestatījumus:
- HKEY_CURRENT_USER \ Programmatūra \ Microsoft \ Windows \ Shell \ Somas
- HKEY_CURRENT_USER \ Programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Programmatūra \ Microsoft \ Windows \ ShellNoRoam \ Somas
- HKEY_CURRENT_USER \ Programmatūra \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ Somas
64 bitu sistēmās papildus:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Wow6432Node \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
Pēc tam atkārtoti izveidojiet šādus taustiņus:
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ Somas
64 bitu sistēmās papildus:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Programmatūra \ Klases \ Wow6432Node \ Vietējie iestatījumi \ Programmatūra \ Microsoft \ Windows \ Shell \ BagMRU
Programmatūras parsētāji
Programmatūra ir izveidota, lai parsētu informāciju un parādītu to viegli analizējamā veidā. Šim nolūkam ir pieejams diezgan daudz programmu. Daži no tiem ir izveidoti, lai iegūtu kriminālistikas pierādījumus, bet citi - datu tīrīšanai, lai nodrošinātu privātumu.
Shellbag Analyzer & Cleaner ir PrivaZer veidotāju bezmaksas programma, kas var parādīt un noņemt ar Shellbag saistīto informāciju.
Lai skenētu sistēmā ar Shellbag saistīto informāciju, jums jānoklikšķina uz pogas analizēt. Pēc noklusējuma lietojumprogramma parāda visus esošos ierakstus un izdzēstās mapes.
Varat izmantot augšējā izvēlni, lai parādītu tikai izdzēstās mapes, tīkla mapes, meklēšanas rezultātus, esošās mapes vai vadības paneļa un sistēmas mapes.
Katrs ieraksts tiek parādīts ar tā vārdu un ceļu, pēdējo reizi, kad tas tika apmeklēts, tā veidu, slota atslēgu reģistrā, izveides, modifikācijas un piekļuves laiku un datumu, kā arī loga atrašanās vietu un lielumu.
Noklikšķinot uz tīras, tiek parādītas opcijas, lai no sistēmas noņemtu noteikta veida informāciju, bet ne atsevišķus ierakstus. Noklikšķinot uz papildu opcijām, jūs iegūstat papildu funkcijas, piemēram, iespēju pārrakstīt informāciju, izveidot dublējumu vai sašifrēt datumus.
Beigās tiek parādīts veiksmes ziņojums, kas informē par operācijas statusu.
Šeit ir dažas alternatīvas, kuras varat izmantot tā vietā:
- Shellbags ir daudz platformu parsētājs, kas rakstīts Python.
- Windows Shellbag Parser ir Windows konsoles lietojumprogramma
