Microsoft Windowsi opsüsteem salvestab Windowsi registrisse teabe akna vaatamiseelistuste kohta - tuntud kui ShellBagi teave.
See jälgib mitut teavet, näiteks suurust, vaaterežiimi, ikooni, juurdepääsu kellaaega ja kuupäeva ning kausta asukohta, kui kasutaja kasutab Windows Explorerit.
Shellbagi teabe teeb huvitavaks asjaolu, et Windows ei kustuta neid kausta kustutamisel, mis tähendab, et seda teavet saab kasutada kaustade olemasolu tõestamiseks süsteemis.
Kohtuekspertiis kasutab teavet näiteks selleks, et jälgida, millistele kaustadele kasutaja on pääsenud. Selle abil saab otsida, millal kausta viimati külastati, seda muudeti või süsteemis loodi.
Seda teavet saab kasutada ka eemaldatavate salvestusseadmete sisu kuvamiseks, mis olid varem arvutiga ühendatud, ja ka teabe krüptitud köidete kohta, mis olid süsteemi varem paigaldatud.
Ülevaade
Shellbags luuakse siis, kui kasutaja külastab vähemalt üks kord opsüsteemi kausta. See tähendab, et neid saab kasutada selleks, et tõestada, et kasutaja on vähemalt korra varem teatud kaustale juurde pääsenud.
Windows salvestab teabe järgmistesse registrivõtmetesse:
- HKEY_USERS \ ID \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
- HKEY_USERS \ ID \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Tarkvara \ Microsoft \ Windows \ ShellNoRoam
BagMRU struktuuri analüüsides märkate palju peamise võtme alla salvestatud täisarvu. Windows salvestab siia teavet hiljuti avatud kaustade kohta. Iga üksus on seotud süsteemi alamkaustaga, mis identifitseeritakse neisse alamkaustadesse salvestatud binaarse kuupäeva järgi.
Seevastu klahv Kotid salvestab teavet iga kausta kohta koos selle ekraaniseadetega.
Lisateavet struktuuri kohta pakub paberkandjal pealkiri "Shellbagi teabe kasutamine kasutaja tegevuste rekonstrueerimiseks", mille saate alla laadida, klõpsates järgmist linki: p69-zhu.pdf
Kõigi kaustade sätete lähtestamiseks saate Microsofti järgi kustutada registrivõtmed:
- HKEY_CURRENT_USER \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
- HKEY_CURRENT_USER \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Tarkvara \ Microsoft \ Windows \ ShellNoRoam \ Kotid
- HKEY_CURRENT_USER \ Tarkvara \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
Lisaks 64-bitistes süsteemides:
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Wow6432Node \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Wow6432Node \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
Pärast seda looge järgmised klahvid uuesti:
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
Lisaks 64-bitistes süsteemides:
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Wow6432Node \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ Kotid
- HKEY_CURRENT_USER \ Tarkvara \ Klassid \ Wow6432Node \ Kohalikud seaded \ Tarkvara \ Microsoft \ Windows \ Shell \ BagMRU
Tarkvara parserid
Tarkvara on loodud teabe sõelumiseks ja hõlpsaks analüüsimiseks kuvamiseks. Sel eesmärgil on saadaval üsna vähe programme. Mõned neist on loodud kohtuekspertiisi tõendite saamiseks, teised aga andmete privaatsuse tagamiseks.
Shellbag Analyzer & Cleaner on PrivaZeri tegijate tasuta programm, mis saab Shellbag-iga seotud teavet kuvada ja eemaldada.
Süsteemi skannimiseks seotud teabe otsimiseks peate klõpsama analüüsimisnupul. Rakendus kuvab vaikimisi kõik olemasolevad ja kustutatud kaustade kirjed.
Ülaosas olevat menüüd saate kasutada ainult kustutatud kaustade, võrgukaustade, otsingutulemite, olemasolevate kaustade või juhtpaneeli ja süsteemikaustade kuvamiseks.
Iga kanne kuvatakse koos nime ja marsruudiga, viimati külastati seda, selle registri pesavõtit, loomise, muutmise ja juurdepääsu kellaaega ja kuupäeva, samuti Windowsi asukohta ja suurust.
Klõps puhtal kuvab suvandeid, et süsteemist eemaldada konkreetset tüüpi teave, kuid mitte üksikud kirjed. Kui klõpsate täpsematel suvanditel, saate lisafunktsioone, näiteks teabe ülekirjutamise, varundamise või kuupäevade rüseluse võimaluse.
Lõpuks kuvatakse eduteade, mis teavitab teid toimingu olekust.
Siin on mõned alternatiivid, mida saate selle asemel kasutada:
- Shellbags on platvormideülene parser, mis on kirjutatud Pythonis.
- Windows Shellbag Parser on Windowsi konsoolirakendus
