Microsoft Windows operativni sustav bilježi podatke o preferencijama gledanja prozora - poznatim kao ShellBag - u Registar Windows.
Prati nekoliko informacija poput veličine, načina pregleda, ikone, vremena i datuma pristupa i položaja mape kada korisnik koristi Windows Explorer.
Informacije o Shellbag-u čine zanimljive i činjenica da ih Windows ne briše kad se mapa izbriše, što znači da se podaci mogu koristiti za dokazivanje postojanja mapa u sustavu.
Forenzičari npr. Upotrebljavaju te podatke da bi pratili kojim mapama je korisnik pristupio. Može se koristiti za pretraživanje kada je mapa zadnji put posjećena, izmijenjena ili kreirana u sustavu.
Te se informacije mogu koristiti i za prikaz sadržaja izmjenjivih uređaja za pohranu koji su bili povezani s računalom u prošlosti, kao i podataka šifriranih volumena koji su prethodno bili ugrađeni u sustav.
Pregled
Torbe se izrađuju kada korisnik barem jednom posjeti mapu na operacijskom sustavu. To znači da se pomoću njih može dokazati kako je korisnik bar jednom prije pristupio određenoj mapi.
Windows sprema podatke u sljedeće registarske ključeve:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Ako analizirate strukturu BagMRU, primijetit ćete mnogo cjelobrojnih brojeva pohranjenih pod glavnim ključem. Windows pohranjuje informacije o nedavno otvorenim mapama. Svaka je stavka povezana s podmapom u sustavu koja se identificira prema binarnom datumu pohranjenom u tim podmapama.
Tipka Torbe s druge strane pohranjuje informacije o svakoj mapi, uključujući njezine postavke prikaza.
Dodatne informacije o strukturi pruža dokument pod nazivom "Korištenje podataka Shellbag za rekonstrukciju korisničkih aktivnosti" koji možete preuzeti klikom na sljedeću vezu: p69-zhu.pdf
Možete izbrisati ključeve registra prema Microsoftu da biste resetirali postavke za sve mape:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Torbe
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Softver \ Klase \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Softver \ Klase \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ Torbe
Na 64-bitnim sustavima dodatno:
- HKEY_CURRENT_USER \ Software \ Klase \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Torbe
- HKEY_CURRENT_USER \ Softver \ Klase \ Wow6432Node \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ BagMRU
Nakon toga ponovno stvorite sljedeće tipke:
- HKEY_CURRENT_USER \ Softver \ Klase \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Softver \ Klase \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ Torbe
Na 64-bitnim sustavima dodatno:
- HKEY_CURRENT_USER \ Software \ Klase \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Torbe
- HKEY_CURRENT_USER \ Softver \ Klase \ Wow6432Node \ Lokalne postavke \ Softver \ Microsoft \ Windows \ Shell \ BagMRU
Softverski analizatori
Softver je stvoren za analizu informacija i prikazivanje na jednostavan način za analizu. U tu svrhu postoji na raspolaganju nekoliko programa. Neki su stvoreni za dobivanje forenzičkih dokaza, dok drugi za čišćenje podataka zbog privatnosti.
Shellbag Analyzer & Cleaner besplatni je program proizvođača PrivaZer-a koji može prikazati i ukloniti podatke povezane s Shellbag-om.
Da biste skenirali sustav na podatke vezane uz Shellbag, morate kliknuti na analizu. Aplikacija prikazuje sve unose, postojeće i za mape koje su prema zadanom izbrisane.
Izbornik možete koristiti pri vrhu za prikaz izbrisanih mapa, mrežnih mapa, rezultata pretraživanja, postojećih mapa ili upravljačke ploče i mapa sustava.
Svaki je unos prikazan sa imenom i putanjom, zadnjim posjetom, vrstom, ključem utora u Registru, kreiranjem, izmjenom i vremenom i datumom pristupa te vremenom i veličinom prozora.
Klik na čistih opcija prikazuje kako biste iz sustava uklonili određene vrste podataka, ali ne i pojedinačne unose. Ako kliknete na napredne opcije, dobit ćete dodatne značajke, poput mogućnosti prepisa podataka, sigurnosnih kopija ili pomicanja datuma.
Na kraju se prikazuje poruka o uspjehu koja vas obavještava o statusu operacije.
Evo nekoliko alternativa koje možete koristiti umjesto:
- Shellbags je raščlanjivač na više platformi napisan Python-om.
- Windows Shellbag Parser je aplikacija za Windows konzolu
