Microsoft Windows 운영 체제는 Windows 레지스트리에 창보기 환경 설정 (ShellBag 정보)에 대한 정보를 기록합니다.
사용자가 Windows 탐색기를 사용할 때 크기, 보기 모드, 아이콘, 액세스 시간 및 날짜, 폴더 위치와 같은 여러 정보를 추적합니다.
Shellbag 정보를 흥미롭게 만드는 것은 폴더가 삭제 될 때 Windows가 해당 정보를 삭제하지 않는다는 사실입니다. 즉, 정보가 시스템에 폴더가 있음을 증명하는 데 사용될 수 있음을 의미합니다.
법의학은 예를 들어 사용자가 액세스 한 폴더를 추적하기 위해 정보를 사용합니다. 시스템에서 폴더를 마지막으로 방문, 수정 또는 생성 한시기를 찾는 데 사용할 수 있습니다.
이 정보는 또한 과거에 컴퓨터에 연결된 이동식 저장 장치의 내용과 이전에 시스템에 마운트 된 암호화 된 볼륨의 정보를 표시하는 데 사용될 수 있습니다.
개요
셸백은 사용자가 운영 체제의 폴더를 한 번 이상 방문 할 때 만들어집니다. 이것은 사용자가 적어도 한 번 전에 특정 폴더에 액세스했음을 증명하는 데 사용될 수 있음을 의미합니다.
Windows는 다음 레지스트리 키에 정보를 저장합니다.
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
BagMRU 구조를 분석하면 기본 키 아래에 많은 정수가 저장되어 있음을 알 수 있습니다. Windows는 최근에 연 폴더에 대한 정보를 여기에 저장합니다. 각 항목은 해당 하위 폴더에 저장된 이진 날짜로 식별되는 시스템의 하위 폴더와 관련됩니다.
반면에 Bags 키는 디스플레이 설정을 포함하여 각 폴더에 대한 정보를 저장합니다.
구조에 대한 추가 정보는 다음 링크를 클릭하여 다운로드 할 수있는 "Shellbag 정보를 사용하여 사용자 활동 재구성"이라는 문서를 통해 제공됩니다. p69-zhu.pdf
Microsoft에 따라 레지스트리 키를 삭제하여 모든 폴더의 설정을 재설정 할 수 있습니다.
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
64 비트 시스템에서 추가로 :
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
그런 다음 다음 키를 다시 만드십시오.
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
64 비트 시스템에서 추가로 :
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
소프트웨어 파서
정보를 분석하고 분석하기 쉬운 방식으로 표시하기위한 소프트웨어가 개발되었습니다. 그 목적으로 사용할 수있는 프로그램이 꽤 있습니다. 일부는 법 의학적 증거를 검색하기 위해 만들어졌으며 다른 일부는 프라이버시를 위해 데이터를 정리하기 위해 만들어졌습니다.
Shellbag Analyzer & Cleaner는 PrivaZer 제조업체가 제공하는 무료 프로그램으로 Shellbag 관련 정보를 표시하고 제거 할 수 있습니다.
쉘백 관련 정보를 시스템에서 스캔하려면 분석 버튼을 클릭해야합니다. 응용 프로그램은 기본적으로 모든 항목, 기존 항목 및 삭제 된 폴더를 표시합니다.
상단의 메뉴를 사용하여 삭제 된 폴더, 네트워크 폴더, 검색 결과, 기존 폴더 또는 제어판 및 시스템 폴더 만 표시 할 수 있습니다.
각 항목은 이름과 경로, 마지막으로 방문한 시간, 유형, 레지스트리의 슬롯 키, 작성, 수정 및 액세스 시간 및 날짜, 창 위치 및 크기와 함께 표시됩니다.
정리를 클릭하면 시스템에서 개별 항목이 아닌 특정 유형의 정보를 제거하는 옵션이 표시됩니다. 고급 옵션을 클릭하면 정보 덮어 쓰기, 백업 또는 날짜 스크램블 옵션과 같은 추가 기능이 제공됩니다.
작업 상태를 알려주는 성공 메시지가 끝에 표시됩니다.
대신 사용할 수있는 몇 가지 대안이 있습니다.
- Shellbags는 Python으로 작성된 크로스 플랫폼 파서입니다.
- Windows Shellbag Parser는 Windows 콘솔 응용 프로그램입니다
