Il sistema operativo Microsoft Windows registra le informazioni sulle preferenze di visualizzazione delle finestre, note come informazioni ShellBag, nel registro di Windows.
Tiene traccia di diverse informazioni come dimensioni, modalità di visualizzazione, icona, ora e data di accesso e posizione di una cartella quando un utente utilizza Esplora risorse.
Ciò che rende interessanti le informazioni Shellbag è il fatto che Windows non le elimina quando viene eliminata la cartella, il che significa che le informazioni possono essere utilizzate per provare l'esistenza di cartelle sul sistema.
La scientifica usa le informazioni per esempio per tenere traccia delle cartelle a cui un utente ha avuto accesso. Può essere utilizzato per cercare l'ultima volta che una cartella è stata visitata, modificata o creata su un sistema.
Le informazioni possono anche essere utilizzate per visualizzare i contenuti dei dispositivi di archiviazione rimovibili collegati in precedenza al computer e anche informazioni sui volumi crittografati precedentemente montati sul sistema.
Panoramica
Gli shellbag vengono creati quando un utente visita una cartella sul sistema operativo almeno una volta. Ciò significa che possono essere utilizzati per dimostrare che un utente ha effettuato l'accesso a una determinata cartella almeno una volta prima.
Windows salva le informazioni nelle seguenti chiavi del Registro di sistema:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Se analizzi la struttura BagMRU noterai molti numeri interi memorizzati nella chiave principale. Windows archivia qui le informazioni sulle cartelle aperte di recente. Ogni elemento è correlato a una sottocartella sul sistema identificata dalla data binaria memorizzata in tali sottocartelle.
D'altra parte, il tasto Borse memorizza le informazioni su ciascuna cartella, comprese le impostazioni di visualizzazione.
Ulteriori informazioni sulla struttura sono fornite da un documento chiamato "Utilizzo delle informazioni Shellbag per ricostruire le attività degli utenti" che è possibile scaricare facendo clic sul seguente collegamento: p69-zhu.pdf
È possibile eliminare le chiavi del Registro di sistema in base a Microsoft per ripristinare le impostazioni per tutte le cartelle:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Borse
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Impostazioni locali \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Impostazioni locali \ Software \ Microsoft \ Windows \ Shell \ Bags
Sui sistemi a 64 bit, inoltre:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Successivamente, ricreare le seguenti chiavi:
- HKEY_CURRENT_USER \ Software \ Classes \ Impostazioni locali \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Impostazioni locali \ Software \ Microsoft \ Windows \ Shell \ Bags
Sui sistemi a 64 bit, inoltre:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Analizzatori di software
Il software è stato creato per analizzare le informazioni e visualizzarle in un modo facile da analizzare. Ci sono alcuni programmi disponibili a tale scopo. Alcuni sono stati creati per recuperare prove forensi, mentre altri per pulire i dati per la privacy.
Shellbag Analyzer & Cleaner è un programma gratuito realizzato dai produttori di PrivaZer in grado di visualizzare e rimuovere le informazioni relative a Shellbag.
È necessario fare clic sul pulsante Analizza per scansionare il sistema alla ricerca di informazioni relative a Shellbag. L'applicazione visualizza tutte le voci, quelle esistenti e per le cartelle che sono state eliminate, per impostazione predefinita.
È possibile utilizzare il menu in alto per visualizzare solo le cartelle cancellate, le cartelle di rete, i risultati della ricerca, le cartelle esistenti o il pannello di controllo e le cartelle di sistema.
Ogni voce viene visualizzata con il suo nome e percorso, l'ultima volta che è stata visitata, il suo tipo, la chiave dello slot nel registro, la creazione, la modifica e l'ora e la data di accesso, nonché la posizione e le dimensioni di Windows.
Un clic su clean mostra le opzioni per rimuovere tipi specifici di informazioni, ma non singole voci, dal sistema. Se si fa clic su opzioni avanzate, si ottengono funzionalità aggiuntive come un'opzione per sovrascrivere le informazioni, eseguire il backup o mescolare le date.
Alla fine viene visualizzato un messaggio di successo che ti informa sullo stato dell'operazione.
Ecco alcune alternative che puoi usare invece:
- Shellbags è un parser multipiattaforma scritto in Python.
- Windows Shellbag Parser è un'applicazione console Windows
