O sistema operacional Microsoft Windows registra informações sobre as preferências de visualização da janela - conhecidas como informações do ShellBag - no Registro do Windows.
Ele monitora várias informações, como tamanho, modo de exibição, ícone, data e hora de acesso e posição de uma pasta quando um usuário usa o Windows Explorer.
O que torna as informações do Shellbag interessantes é o fato de o Windows não as excluir quando a pasta é excluída, o que significa que as informações podem ser usadas para provar a existência de pastas no sistema.
Forense usa as informações, por exemplo, para acompanhar quais pastas um usuário acessou. Pode ser usado para procurar a última vez que uma pasta foi visitada, modificada ou criada em um sistema.
As informações também podem ser usadas para exibir o conteúdo de dispositivos de armazenamento removíveis que foram conectados ao computador no passado e também informações de volumes criptografados que foram montados no sistema anteriormente.
visão global
Shellbags são criados quando um usuário visita uma pasta no sistema operacional pelo menos uma vez. Isso significa que eles podem ser usados para provar que um usuário acessou uma pasta específica pelo menos uma vez antes.
O Windows salva as informações nas seguintes chaves do Registro:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Se você analisar a estrutura BagMRU, notará muitos números inteiros armazenados na chave principal. O Windows armazena informações sobre as pastas abertas recentemente aqui. Cada item está relacionado a uma subpasta no sistema, identificada pela data binária armazenada nessas subpastas.
A tecla Bolsas, por outro lado, armazena informações sobre cada pasta, incluindo suas configurações de exibição.
Informações adicionais sobre a estrutura são fornecidas por um documento chamado "Usando informações do Shellbag para reconstruir as atividades do usuário", que você pode baixar com um clique no seguinte link: p69-zhu.pdf
Você pode excluir as chaves do Registro de acordo com a Microsoft para redefinir as configurações de todas as pastas:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ Bags
Em sistemas de 64 bits, adicionalmente:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Depois, recrie as seguintes chaves:
- HKEY_CURRENT_USER \ Software \ Classes \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ Bags
Em sistemas de 64 bits, adicionalmente:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configurações locais \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Analisadores de software
O software foi criado para analisar as informações e exibi-las de uma maneira fácil de analisar. Existem alguns programas disponíveis para esse fim. Alguns foram criados para recuperar evidências forenses, enquanto outros para limpar os dados em busca de privacidade.
Shellbag Analyzer & Cleaner é um programa gratuito dos fabricantes de PrivaZer que pode exibir e remover informações relacionadas ao Shellbag.
Você precisa clicar no botão de análise para procurar informações relacionadas ao Shellbag no sistema. O aplicativo exibe todas as entradas, as existentes e as pastas que foram excluídas, por padrão.
Você pode usar o menu na parte superior para exibir apenas pastas excluídas, pastas de rede, resultados de pesquisa, pastas existentes ou painel de controle e pastas do sistema.
Cada entrada é exibida com seu nome e caminho, a última vez que foi visitada, seu tipo, chave de slot no Registro, criação, modificação e hora e data do acesso, além da posição e tamanho das janelas.
Um clique em limpar exibe opções para remover tipos específicos de informações, mas não entradas individuais, do sistema. Se você clicar em opções avançadas, obterá recursos adicionais, como uma opção para substituir as informações, fazer backup ou embaralhar as datas.
Uma mensagem de sucesso é exibida no final informando sobre o status da operação.
Aqui estão algumas alternativas que você pode usar:
- Shellbags é um analisador multiplataforma escrito em Python.
- O Windows Shellbag Parser é um aplicativo de console do Windows
