Jak odstranit staré položky Shellbag ve Windows z důvodu ochrany soukromí

• Kategorie: Bezpečnostní

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Operační systém Microsoft Windows zaznamenává informace o předvolbách zobrazení okna - známé jako informace ShellBag - do registru Windows.

Sleduje několik informací, jako je velikost, režim zobrazení, ikona, čas a datum přístupu a poloha složky, když uživatel používá Průzkumníka Windows.

Zajímavostí informací Shellbag je skutečnost, že Windows je neodstraňuje, když je složka odstraněna, což znamená, že tyto informace lze použít k prokázání existence složek v systému.

Forenzní informace používají například k sledování, ke kterým složkám má uživatel přístup. Může být použit k vyhledání, kdy byla složka naposledy navštívena, změněna nebo vytvořena v systému.

Tyto informace lze také použít k zobrazení obsahu vyměnitelných úložných zařízení, která byla v minulosti připojena k počítači, a také k informacím o šifrovaných svazcích, které byly do systému připojeny dříve.

Přehled

Shellbags jsou vytvářeny, když uživatel navštíví složku v operačním systému alespoň jednou. To znamená, že je lze použít k prokázání, že uživatel přistoupil k určité složce alespoň jednou předtím.

Systém Windows uloží informace do následujících klíčů registru:

• HKEY_USERS ID Software Microsoft Windows Shell Bags
• HKEY_USERS ID Software Microsoft Windows Shell BagMRU
• HKEY_USERS ID Software Microsoft Windows ShellNoRoam

Pokud analyzujete strukturu BagMRU, všimnete si mnoha celých čísel uložených pod hlavním klíčem. Windows zde ukládá informace o nedávno otevřených složkách. Každá položka souvisí s podsložkou v systému, která je identifikována binárním datem uloženým v těchto podsložkách.

Klávesa Bags na druhé straně ukládá informace o každé složce včetně nastavení zobrazení.

Další informace o struktuře poskytuje dokument nazvaný „Použití informací společnosti Shellbag k rekonstrukci uživatelských aktivit“, který si můžete stáhnout kliknutím na následující odkaz: p69-zhu.pdf

Můžete odstranit klíče registru podle společnosti Microsoft resetování nastavení pro všechny složky:

• HKEY_CURRENT_USER Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam Bags
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

Na 64bitových systémech navíc:

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell BagMRU

Poté znovu vytvořte následující klíče:

• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

Na 64bitových systémech navíc:

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell BagMRU

Softwarové analyzátory

Byl vytvořen software, který analyzuje informace a zobrazuje je snadno analyzovatelným způsobem. Pro tento účel je k dispozici poměrně málo programů. Některé byly vytvořeny za účelem získání forenzních důkazů, zatímco jiné za účelem vyčištění dat z důvodu ochrany soukromí.

Shellbag Analyzer & Cleaner je bezplatný program výrobců PrivaZer, který umí zobrazit a odstranit informace související se Shellbagem.

Musíte kliknout na tlačítko analýzy a prohledat v systému informace týkající se Shellbag. Aplikace ve výchozím nastavení zobrazuje všechny položky, existující i pro složky, které byly odstraněny.

Pomocí nabídky v horní části můžete zobrazit pouze odstraněné složky, síťové složky, výsledky hledání, existující složky nebo ovládací panel a systémové složky.

Každá položka je zobrazena s názvem a cestou, při poslední návštěvě, jejím typem, klíčem slotu v registru, vytvořením, úpravou a časem a datem přístupu, jakož i pozicí a velikostí oken.

Kliknutím na možnost čistého zobrazení se ze systému odstraní konkrétní typy informací, ale nikoli jednotlivé položky. Pokud kliknete na pokročilé možnosti, získáte další funkce, jako je například možnost přepsat informace, zálohovat nebo zkódovat data.

Na konci se zobrazí zpráva o úspěchu, která vás informuje o stavu operace.

Zde je několik alternativ, které můžete použít:

• Shellbags je analyzátor napříč platformami napsaný v Pythonu.
• Windows Shellbag Parser je aplikace konzoly Windows