Το λειτουργικό σύστημα Microsoft Windows καταγράφει πληροφορίες σχετικά με τις προτιμήσεις προβολής παραθύρων - γνωστές ως πληροφορίες ShellBag - στο μητρώο των Windows.
Παρακολουθεί αρκετές πληροφορίες όπως το μέγεθος, η λειτουργία προβολής, το εικονίδιο, ο χρόνος και η ημερομηνία πρόσβασης και η θέση ενός φακέλου όταν ένας χρήστης χρησιμοποιεί την Εξερεύνηση των Windows.
Αυτό που καθιστά ενδιαφέρουσες πληροφορίες για το Shellbag είναι το γεγονός ότι τα Windows δεν τα διαγράφουν όταν διαγραφεί ο φάκελος, πράγμα που σημαίνει ότι οι πληροφορίες μπορούν να χρησιμοποιηθούν για να αποδειχθεί η ύπαρξη φακέλων στο σύστημα.
Οι ιατροδικαστές χρησιμοποιούν τις πληροφορίες, για παράδειγμα, για να παρακολουθούν τους φακέλους στους οποίους έχει πρόσβαση ένας χρήστης. Μπορεί να χρησιμοποιηθεί για να αναζητήσει τον τελευταίο επισκέπτη, τροποποιημένο ή δημιουργημένο φάκελο σε ένα σύστημα.
Οι πληροφορίες μπορούν επίσης να χρησιμοποιηθούν για την εμφάνιση περιεχομένων αφαιρούμενων συσκευών αποθήκευσης που είχαν συνδεθεί στον υπολογιστή στο παρελθόν, καθώς και για πληροφορίες κρυπτογραφημένων τόμων που είχαν τοποθετηθεί στο σύστημα πριν.
ΣΦΑΙΡΙΚΗ ΕΙΚΟΝΑ
Οι Shellbags δημιουργούνται όταν ένας χρήστης επισκέπτεται ένα φάκελο στο λειτουργικό σύστημα τουλάχιστον μία φορά. Αυτό σημαίνει ότι μπορούν να χρησιμοποιηθούν για να αποδείξουν ότι ένας χρήστης έχει πρόσβαση σε ένα συγκεκριμένο φάκελο τουλάχιστον μια φορά πριν.
Τα Windows αποθηκεύουν τις πληροφορίες στα ακόλουθα κλειδιά μητρώου:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Τσάντες
- HKEY_USERS \ ID \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Λογισμικό \ Microsoft \ Windows \ ShellNoRoam
Αν αναλύσετε τη δομή του BagMRU, θα παρατηρήσετε πολλούς ακεραίους που είναι αποθηκευμένοι κάτω από το κύριο κλειδί. Τα Windows αποθηκεύουν εδώ πληροφορίες σχετικά με τους φακέλους που ανοίξατε πρόσφατα. Κάθε στοιχείο σχετίζεται με έναν υποφάκελο στο σύστημα ο οποίος αναγνωρίζεται από τη δυαδική ημερομηνία που είναι αποθηκευμένη σε αυτούς τους υποφακέλους.
Το πλήκτρο "Τσάντες", από την άλλη, αποθηκεύει πληροφορίες για κάθε φάκελο, συμπεριλαμβανομένων των ρυθμίσεων εμφάνισης.
Πρόσθετες πληροφορίες για τη δομή παρέχονται από ένα έγγραφο με τίτλο "Χρήση πληροφοριών Shellbag για την ανακατασκευή των δραστηριοτήτων των χρηστών" που μπορείτε να κατεβάσετε με ένα κλικ στον παρακάτω σύνδεσμο: p69-zhu.pdf
Μπορείτε να διαγράψετε τα κλειδιά μητρώου σύμφωνα με τη Microsoft για να επαναφέρετε τις ρυθμίσεις για όλους τους φακέλους:
- HKEY_CURRENT_USER \ Λογισμικό \ Microsoft \ Windows \ Shell \ Τσάντες
- HKEY_CURRENT_USER \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Λογισμικό \ Microsoft \ Windows \ ShellNoRoam \ Τσάντες
- HKEY_CURRENT_USER \ Λογισμικό \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ Τσάντες
Σε συστήματα 64 bit επιπλέον:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ Τσάντες
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
Στη συνέχεια, επαναδημιουργήστε τα ακόλουθα πλήκτρα:
- HKEY_CURRENT_USER \ Software \ Classes \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ Τσάντες
Σε συστήματα 64 bit επιπλέον:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ Τσάντες
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Τοπικές ρυθμίσεις \ Λογισμικό \ Microsoft \ Windows \ Shell \ BagMRU
Λογισμικό ανίχνευσης
Το λογισμικό έχει δημιουργηθεί για την ανάλυση των πληροφοριών και την εμφάνισή τους με έναν εύκολο τρόπο ανάλυσης. Υπάρχουν αρκετά διαθέσιμα προγράμματα για το σκοπό αυτό. Μερικοί έχουν δημιουργηθεί για να ανακτήσουν ιατροδικαστικά στοιχεία, ενώ άλλα για να καθαρίσουν τα δεδομένα για ιδιωτικότητα.
Το Shellbag Analyzer & Cleaner είναι ένα δωρεάν πρόγραμμα από τους κατασκευαστές του PrivaZer που μπορούν να εμφανίσουν και να αφαιρέσουν σχετικές πληροφορίες Shellbag.
Πρέπει να κάνετε κλικ στο κουμπί ανάλυσης για να σαρώσετε το σύστημα για πληροφορίες σχετικές με το Shellbag. Η εφαρμογή εμφανίζει όλες τις καταχωρίσεις, τις υπάρχουσες και για τους φακέλους που έχουν διαγραφεί, από προεπιλογή.
Μπορείτε να χρησιμοποιήσετε το μενού στην κορυφή για να εμφανίζονται μόνο οι φάκελοι που έχουν διαγραφεί, οι φάκελοι δικτύου, τα αποτελέσματα αναζήτησης, οι υπάρχοντες φάκελοι ή οι φάκελοι του πίνακα ελέγχου και του συστήματος.
Κάθε καταχώρηση εμφανίζεται με το όνομα και τη διαδρομή του, την τελευταία φορά που επισκέφθηκε, τον τύπο του, το κλειδί υποδοχής στο μητρώο, τη δημιουργία, την τροποποίηση και την ώρα και την ημερομηνία πρόσβασης, καθώς και τη θέση και το μέγεθος των παραθύρων.
Κάνοντας κλικ σε καθαρό εμφανίζει επιλογές για την κατάργηση συγκεκριμένων τύπων πληροφοριών, αλλά όχι μεμονωμένων καταχωρήσεων, από το σύστημα. Εάν κάνετε κλικ σε προχωρημένες επιλογές, θα λάβετε πρόσθετες λειτουργίες, όπως μια επιλογή για την αντικατάσταση των πληροφοριών, τη δημιουργία αντιγράφων ασφαλείας ή την ανατροπή των ημερομηνιών.
Στη συνέχεια εμφανίζεται ένα μήνυμα επιτυχίας που σας ενημερώνει για την κατάσταση της λειτουργίας.
Ακολουθούν ορισμένες εναλλακτικές λύσεις που μπορείτε να χρησιμοποιήσετε:
- Shellbags είναι ένας cross-platform αναλυτής που γράφεται στην Python.
- Παράθυρο Shellbag Windows είναι μια εφαρμογή κονσόλας Windows
