Jak usunąć stare wpisy Shellbag w systemie Windows w celu zachowania prywatności

• Kategoria: Bezpieczeństwo

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

System operacyjny Microsoft Windows rejestruje informacje o preferencjach wyświetlania okien - znane jako informacje ShellBag - w rejestrze systemu Windows.

Śledzi kilka informacji, takich jak rozmiar, tryb widoku, ikona, czas dostępu i data oraz położenie folderu, gdy użytkownik używa Eksploratora Windows.

To, co sprawia, że ​​informacje Shellbag są interesujące, to fakt, że system Windows nie usuwa ich po usunięciu folderu, co oznacza, że ​​informacje mogą zostać wykorzystane do udowodnienia istnienia folderów w systemie.

Kryminalistyka wykorzystuje te informacje na przykład do śledzenia, do których folderów użytkownik uzyskał dostęp. Można go użyć do sprawdzenia, kiedy folder był ostatnio odwiedzany, modyfikowany lub tworzony w systemie.

Informacje te mogą również służyć do wyświetlania zawartości wymiennych urządzeń pamięci masowej, które były wcześniej podłączone do komputera, a także informacji o zaszyfrowanych woluminach, które były wcześniej zamontowane w systemie.

Przegląd

Shellbags są tworzone, gdy użytkownik odwiedzi folder w systemie operacyjnym przynajmniej raz. Oznacza to, że można ich użyć do udowodnienia, że ​​użytkownik przynajmniej raz uzyskał dostęp do określonego folderu.

System Windows zapisuje informacje w następujących kluczach rejestru:

• HKEY_USERS ID Software Microsoft Windows Shell Bags
• HKEY_USERS ID Software Microsoft Windows Shell BagMRU
• HKEY_USERS ID Software Microsoft Windows ShellNoRoam

Jeśli przeanalizujesz strukturę BagMRU, zauważysz wiele liczb całkowitych przechowywanych pod kluczem głównym. Windows przechowuje tutaj informacje o ostatnio otwieranych folderach. Każda pozycja jest powiązana z podfolderem w systemie, który jest identyfikowany przez datę binarną przechowywaną w tych podfolderach.

Z drugiej strony klawisz Torby przechowuje informacje o każdym folderze, w tym jego ustawienia wyświetlania.

Dodatkowe informacje o strukturze zawiera artykuł „Wykorzystanie informacji Shellbag do rekonstrukcji działań użytkowników”, który można pobrać, klikając poniższy link: p69-zhu.pdf

Możesz usunąć klucze rejestru według Microsoft aby zresetować ustawienia dla wszystkich folderów:

• HKEY_CURRENT_USER Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam Bags
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

W systemach 64-bitowych dodatkowo:

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Ustawienia lokalne Oprogramowanie Microsoft Windows Shell BagMRU

Następnie odtwórz następujące klucze:

• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

W systemach 64-bitowych dodatkowo:

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Ustawienia lokalne Oprogramowanie Microsoft Windows Shell BagMRU

Parsery oprogramowania

Oprogramowanie zostało stworzone, aby analizować informacje i wyświetlać je w łatwy do analizy sposób. Dostępnych jest kilka programów do tego celu. Niektóre zostały stworzone w celu uzyskania dowodów kryminalistycznych, a inne w celu oczyszczenia danych w celu zachowania prywatności.

Analizator i środek czyszczący Shellbag to darmowy program twórców PrivaZer, który może wyświetlać i usuwać informacje związane z Shellbag.

Musisz kliknąć przycisk analizy, aby przeskanować system w poszukiwaniu informacji związanych z Shellbag. Aplikacja domyślnie wyświetla wszystkie wpisy, istniejące i foldery, które zostały usunięte.

Możesz użyć menu u góry, aby wyświetlić tylko usunięte foldery, foldery sieciowe, wyniki wyszukiwania, istniejące foldery lub panel sterowania i foldery systemowe.

Każda pozycja jest wyświetlana wraz z nazwą i ścieżką, ostatnią wizytą, typem, kluczem gniazda w Rejestrze, czasem i datą utworzenia, modyfikacji i dostępu, a także pozycją i rozmiarem okien.

Kliknięcie w wyczyść wyświetla opcje usuwania określonych typów informacji, ale nie pojedynczych wpisów, z systemu. Jeśli klikniesz opcje zaawansowane, uzyskasz dodatkowe funkcje, takie jak opcja nadpisania informacji, tworzenia kopii zapasowych lub mieszania dat.

Na końcu wyświetlany jest komunikat o powodzeniu, który informuje o statusie operacji.

Oto kilka alternatyw, których możesz użyć zamiast tego:

• Worki to wieloplatformowy parser napisany w Pythonie.
• Windows Shellbag Parser to aplikacja konsoli systemu Windows