Microsoft Windows -käyttöjärjestelmä tallentaa Windowsin rekisteriin tietoja ikkunoiden katseluasetuksista - tunnetaan nimellä ShellBag-tiedot.
Se seuraa useita tietoja, kuten koko, näkymätila, kuvake, käyttöaika ja -päivämäärä sekä kansion sijainti käyttäjän käyttäessä Windowsin Resurssienhallintaa.
Shellbag-tietojen kiinnostavaksi tekee se, että Windows ei poista niitä, kun kansio poistetaan, mikä tarkoittaa, että tietoja voidaan käyttää osoittamaan kansioiden olemassaolo järjestelmässä.
Oikeuslääketiede käyttää tietoja esimerkiksi seuraamaan, mihin kansioihin käyttäjä on päässyt. Sitä voidaan käyttää etsimään, milloin kansiota on viimeksi käyty, muokattu tai luotu järjestelmässä.
Tietoja voidaan käyttää myös aikaisemmin tietokoneeseen kytkettyjen irrotettavien tallennuslaitteiden sisällön ja myös järjestelmään aiemmin asennettujen salattujen levyjen tietojen näyttämiseen.
Yleiskatsaus
Shellbags luodaan, kun käyttäjä käy vähintään kerran käyttöjärjestelmän kansiossa. Tämä tarkoittaa, että niiden avulla voidaan todistaa, että käyttäjä on käyttänyt tiettyä kansiota vähintään kerran aiemmin.
Windows tallentaa tiedot seuraaviin rekisteriavaimiin:
- HKEY_USERS \ tunnus \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ tunnus \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ tunnus \ Software \ Microsoft \ Windows \ ShellNoRoam
Jos analysoit BagMRU-rakennetta, huomaat useita pääavaimen alle tallennettuja kokonaislukuja. Windows tallentaa tähän äskettäin avattujen kansioiden tietoja. Jokainen kohde liittyy järjestelmän alikansioon, joka tunnistetaan näihin alikansioihin tallennetun binaaripäivän avulla.
Toisaalta Laukut-näppäin tallentaa tiedot jokaisesta kansiosta, mukaan lukien sen näyttöasetukset.
Lisätietoja rakenteesta tarjoaa "Shellbag-tietojen käyttäminen käyttäjän toimintojen rekonstruoinnissa" -lehti, jonka voit ladata napsauttamalla seuraavaa linkkiä: p69-zhu.pdf
Voit poistaa rekisteriavaimet Microsoftin mukaan palauttaaksesi kaikkien kansioiden asetukset:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Laukut
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ Laukut
64-bittisissä järjestelmissä lisäksi:
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Wow6432Node \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ Laukut
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Wow6432Node \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ BagMRU
Jälkeenpäin luo seuraavat avaimet uudelleen:
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ Laukut
64-bittisissä järjestelmissä lisäksi:
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Wow6432Node \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ Laukut
- HKEY_CURRENT_USER \ Ohjelmisto \ Luokat \ Wow6432Node \ Paikalliset asetukset \ Ohjelmisto \ Microsoft \ Windows \ Shell \ BagMRU
Ohjelmistojen jäsentäjät
Ohjelmisto on luotu jäsentämään tietoa ja esittämään se helposti analysoitavalla tavalla. Tätä tarkoitusta varten on saatavilla melko vähän ohjelmia. Jotkut on luotu hakemaan rikosteknisiä todisteita, kun taas toiset puhdistavat tiedot yksityisyyden suojaamiseksi.
Shellbag Analyzer & Cleaner on PrivaZerin valmistajien ilmainen ohjelma, joka voi näyttää ja poistaa Shellbag-liittyviä tietoja.
Sinun on napsautettava analyysipainiketta, kun haluat tarkistaa järjestelmästä Shellbag-tietoja. Sovellus näyttää oletuksena kaikki merkinnät, olemassa olevat ja poistettujen kansioiden tiedot.
Voit käyttää ylävalikkoa näyttääksesi vain poistetut kansiot, verkkokansiot, hakutulokset, olemassa olevat kansiot tai ohjauspaneelin ja järjestelmän kansiot.
Jokaisessa merkinnässä näkyy sen nimi ja polku, viimeinen käynti kerta, tyyppi, paikka-avain rekisterissä, luomisen, muuttamisen ja käyttöajan ja -päivän lisäksi ikkunan sijainti ja koko.
Napsauttamalla puhdasta -vaihtoehtoa voit poistaa tietyt tiedot, muttei yksittäisiä merkintöjä, järjestelmästä. Jos napsautat lisäasetuksia, saat lisäominaisuuksia, kuten vaihtoehdon tietojen korvaamiseen, varmuuskopiointiin tai päivämäärien sekoittamiseen.
Lopussa näkyy menestysviesti, joka kertoo toiminnon tilasta.
Tässä on joitain vaihtoehtoja, joita voit käyttää sen sijaan:
- Shellbags on pythoniksi kirjoitettu eri alustojen jäsennystekijä.
- Windows Shellbag Parser on Windows-konsoli-sovellus
