Das Microsoft Windows-Betriebssystem zeichnet Informationen zu den Einstellungen für die Fensteranzeige - so genannte ShellBag-Informationen - in der Windows-Registrierung auf.
Es werden verschiedene Informationen wie Größe, Ansichtsmodus, Symbol, Zugriffszeit und -datum sowie die Position eines Ordners aufgezeichnet, wenn ein Benutzer den Windows Explorer verwendet.
Was Shellbag-Informationen interessant macht, ist die Tatsache, dass Windows sie nicht löscht, wenn der Ordner gelöscht wird, was bedeutet, dass die Informationen verwendet werden können, um die Existenz von Ordnern auf dem System zu beweisen.
Die Forensik verwendet die Informationen beispielsweise, um zu verfolgen, auf welche Ordner ein Benutzer zugegriffen hat. Es kann verwendet werden, um nachzuschlagen, wann ein Ordner zuletzt auf einem System besucht, geändert oder erstellt wurde.
Die Informationen können auch zum Anzeigen von Inhalten von Wechseldatenträgern verwendet werden, die in der Vergangenheit an den Computer angeschlossen waren, sowie von Informationen zu verschlüsselten Volumes, die zuvor auf dem System bereitgestellt wurden.
Überblick
Shellbags werden erstellt, wenn ein Benutzer mindestens einmal einen Ordner auf dem Betriebssystem besucht. Dies bedeutet, dass sie verwendet werden können, um nachzuweisen, dass ein Benutzer mindestens einmal zuvor auf einen bestimmten Ordner zugegriffen hat.
Windows speichert die Informationen in den folgenden Registrierungsschlüsseln:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Wenn Sie die BagMRU-Struktur analysieren, werden Sie feststellen, dass viele Ganzzahlen unter dem Hauptschlüssel gespeichert sind. Windows speichert hier Informationen zu den zuletzt geöffneten Ordnern. Jedes Element ist mit einem Unterordner auf dem System verknüpft, der durch das in diesen Unterordnern gespeicherte Binärdatum identifiziert wird.
Die Taschen-Taste hingegen speichert Informationen zu jedem Ordner, einschließlich der Anzeigeeinstellungen.
Weitere Informationen zur Struktur finden Sie in einem Artikel mit dem Titel "Mit Shellbag-Informationen Benutzeraktivitäten rekonstruieren", den Sie mit einem Klick auf den folgenden Link herunterladen können: p69-zhu.pdf
Sie können die Registrierungsschlüssel laut Microsoft löschen, um die Einstellungen für alle Ordner zurückzusetzen:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Auf 64-Bit-Systemen zusätzlich:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Lokale Einstellungen \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Lokale Einstellungen \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Erstellen Sie anschließend die folgenden Schlüssel neu:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
Auf 64-Bit-Systemen zusätzlich:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Lokale Einstellungen \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Lokale Einstellungen \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Software-Parser
Es wurde eine Software entwickelt, mit der die Informationen analysiert und auf einfach zu analysierende Weise angezeigt werden können. Es gibt einige Programme für diesen Zweck. Einige wurden erstellt, um forensische Beweise abzurufen, andere, um die Daten aus Datenschutzgründen zu bereinigen.
Shellbag Analyzer & Cleaner ist ein kostenloses Programm der Hersteller von PrivaZer, mit dem Shellbag-bezogene Informationen angezeigt und entfernt werden können.
Sie müssen auf die Schaltfläche Analysieren klicken, um das System nach Shellbag-bezogenen Informationen zu durchsuchen. Die Anwendung zeigt standardmäßig alle vorhandenen und gelöschten Einträge für Ordner an.
Über das Menü oben können Sie nur gelöschte Ordner, Netzwerkordner, Suchergebnisse, vorhandene Ordner oder Systemsteuerungs- und Systemordner anzeigen.
Jeder Eintrag wird mit seinem Namen und Pfad, dem letzten Besuch, seinem Typ, dem Steckplatzschlüssel in der Registrierung, der Erstellungs-, Änderungs- und Zugriffszeit und dem Datum sowie der Position und Größe des Fensters angezeigt.
Ein Klick auf Bereinigen zeigt Optionen an, um bestimmte Arten von Informationen, jedoch keine einzelnen Einträge, aus dem System zu entfernen. Wenn Sie auf erweiterte Optionen klicken, erhalten Sie zusätzliche Funktionen, z. B. die Option zum Überschreiben der Informationen, Sichern oder Verwürfeln der Daten.
Am Ende wird eine Erfolgsmeldung angezeigt, die Sie über den Status des Vorgangs informiert.
Hier sind einige Alternativen, die Sie stattdessen verwenden können:
- Shellbags ist ein plattformübergreifender Parser, der in Python geschrieben wurde.
- Windows Shellbag Parser ist eine Windows-Konsolenanwendung
