Мицрософт Виндовс оперативни систем бележи податке о преференцијама прегледа прозора - познатим као СхеллБаг информације - у Виндовс Регистар.
Прати неколико информација као што су величина, режим прегледа, икона, време приступа и датум и позиција мапе када корисник користи Виндовс Екплорер.
Оно што информације о Схеллбаг-у чини занимљивим је чињеница да их Виндовс не брише када се мапа избрише, што значи да се подаци могу користити за доказивање постојања мапа у систему.
Форензичари користе информације на пример како би пратили којим мапама је корисник приступио. Може се користити за претрагу када је мапа последњи пут посећена, модификована или креирана у систему.
Информације се такође могу користити за приказ садржаја уклоњивих уређаја за складиштење који су били повезани са рачунаром у прошлости, као и информација шифрованих волумена који су претходно били монтирани на систем.
Преглед
Схеллбагови се стварају када корисник бар једном посети фасциклу на оперативном систему. То значи да се помоћу њих може доказати да је корисник бар једном приступио одређеној мапи.
Виндовс спрема податке у следеће кључеве регистра:
- ХКЕИ_УСЕРС \ ИД \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ Торбе
- ХКЕИ_УСЕРС \ ИД \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
- ХКЕИ_УСЕРС \ ИД \ Софтваре \ Мицрософт \ Виндовс \ СхеллНоРоам
Ако анализирате структуру БагМРУ, приметићете много целих бројева похрањених под главним кључем. Виндовс овде чува информације о недавно отвореним мапама. Свака ставка повезана је с подмапом у систему која је идентифицирана према бинарном датуму похрањеном у тим подмапама.
Типка Торбе с друге стране чува информације о свакој мапи, укључујући њене поставке приказа.
Додатне информације о структури дају документ под називом "Коришћење података Схеллбаг-а за реконструкцију корисничких активности" који можете преузети кликом на следећу везу: п69-зху.пдф
Можете да избришете кључеве регистра према Мицрософт-у да бисте ресетовали подешавања за све мапе:
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ Торбе
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ СхеллНоРоам \ Торбе
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ СхеллНоРоам \ БагМРУ
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтвер \ Класе \ Локална подешавања \ Софтвер \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтвер \ Класе \ Локална подешавања \ Софтвер \ Мицрософт \ Виндовс \ Схелл \ Торбе
На 64-битним системима додатно:
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Цлассес \ Вов6432Ноде \ Лоцал Сеттингс \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ Торбе
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Цлассес \ Вов6432Ноде \ Лоцал Сеттингс \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
Након тога поново креирајте следеће тастере:
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтвер \ Класе \ Локална подешавања \ Софтвер \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтвер \ Класе \ Локална подешавања \ Софтвер \ Мицрософт \ Виндовс \ Схелл \ Торбе
На 64-битним системима додатно:
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Цлассес \ Вов6432Ноде \ Лоцал Сеттингс \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ Торбе
- ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Цлассес \ Вов6432Ноде \ Лоцал Сеттингс \ Софтваре \ Мицрософт \ Виндовс \ Схелл \ БагМРУ
Софтверски парсери
Софтвер је креиран за анализу информација и приказивање на једноставан начин за анализу. Постоји довољно програма у ту сврху. Неки су створени да пронађу форензичке доказе, док су други за чишћење података ради приватности.
Схеллбаг Анализер & Цлеанер је бесплатни програм произвођача ПриваЗер-а који може приказати и уклонити податке повезане са Схеллбаг-ом.
Морате да кликнете на дугме за анализу да бисте скенирали систем у вези са информацијама које се односе на Схеллбаг. Апликација приказује све уносе, постојеће и за фасцикле које су према заданом избрисане.
Можете користити мени на врху да прикажете само избрисане мапе, мрежне мапе, резултате претраживања, постојеће мапе или контролну таблу и системске мапе.
Сваки унос је приказан са именом и путањом, последњим путом када је посећен, врстом, кључем за слотове у Регистру, креирањем, модификацијом и временом и датумом приступа, као и са позицијом и величином прозора.
Клик на чисте опције за уклањање одређених врста информација, али не и појединачних уноса, из система. Ако кликнете на напредне опције, добићете додатне функције, као што је опција за преписивање информација, израду резервних копија или исправљање датума.
На крају се приказује порука о успеху која вас обавештава о статусу операције.
Ево неких алтернатива које уместо тога можете да користите:
- Схеллбагс је анализатор на више платформи написан на Питхон-у.
- Виндовс Схеллбаг Парсер је апликација за Виндовс конзолу
