Microsoft Windowsオペレーティングシステムは、ウィンドウ表示設定に関する情報(ShellBag情報)をWindowsレジストリに記録します。
ユーザーがWindowsエクスプローラーを使用するときに、サイズ、表示モード、アイコン、アクセス日時、フォルダーの位置などのいくつかの情報を追跡します。
Shellbagの情報を興味深いものにしているのは、フォルダーが削除されてもWindowsがそれらを削除しないという事実です。つまり、情報はシステム上のフォルダーの存在を証明するために使用できます。
フォレンジックは、たとえば、ユーザーがアクセスしたフォルダーを追跡するために情報を使用します。 システム上でフォルダが最後にアクセス、変更、または作成された日時を検索するために使用できます。
この情報は、過去にコンピューターに接続されていたリムーバブル記憶装置の内容や、以前にシステムにマウントされた暗号化されたボリュームの情報を表示するためにも使用できます。
概要
ユーザーがオペレーティングシステム上のフォルダーに少なくとも1回アクセスすると、シェルバッグが作成されます。 これは、ユーザーが特定のフォルダーに少なくとも一度はアクセスしたことを証明するために使用できることを意味します。
Windowsは、次のレジストリキーに情報を保存します。
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
BagMRU構造を分析すると、メインキーの下に多くの整数が格納されていることに気付くでしょう。 Windowsは、最近開いたフォルダーに関する情報をここに保存します。 各アイテムは、システム上のサブフォルダーに関連付けられており、サブフォルダーに保存されているバイナリの日付によって識別されます。
一方、Bagsキーには、表示設定など、各フォルダーに関する情報が保存されます。
構造に関する追加情報は、「シェルバッグ情報を使用してユーザーアクティビティを再構築する」というペーパーで提供されています。このペーパーは、次のリンクをクリックしてダウンロードできます。p69-zhu.pdf
Microsoftに従ってレジストリキーを削除して、すべてのフォルダーの設定をリセットできます。
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
さらに64ビットシステムでは:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
その後、次のキーを再作成します。
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
さらに64ビットシステムでは:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
ソフトウェアパーサー
情報を解析し、分析しやすい方法で表示するためのソフトウェアが作成されました。 そのために利用できるプログラムはかなりあります。 法医学的証拠を取得するために作成されたものもあれば、プライバシーのためにデータを消去するために作成されたものもあります。
Shellbag Analyzer&CleanerはPrivaZerのメーカーによる無料プログラムで、Shellbag関連情報を表示および削除できます。
分析ボタンをクリックして、Shellbag関連情報のシステムをスキャンする必要があります。 アプリケーションは、デフォルトですべてのエントリ、既存のエントリ、および削除されたフォルダを表示します。
上部のメニューを使用して、削除されたフォルダー、ネットワークフォルダー、検索結果、既存のフォルダー、またはコントロールパネルとシステムフォルダーのみを表示できます。
各エントリは、名前とパス、最後にアクセスした時間、タイプ、レジストリ内のスロットキー、作成、変更、アクセス日時、ウィンドウの位置とサイズとともに表示されます。
クリーンをクリックすると、システムから個々のエントリではなく、特定の種類の情報を削除するオプションが表示されます。 詳細オプションをクリックすると、情報の上書き、バックアップ、日付のスクランブルなどの追加機能が利用できます。
最後に、操作のステータスについて通知する成功メッセージが表示されます。
代わりに使用できるいくつかの選択肢があります。
- Shellbagsは、Pythonで書かれたクロスプラットフォームパーサーです。
- Windows Shellbag ParserはWindowsコンソールアプリケーションです