Bagaimana untuk menghapus entri Shellbag lama di Windows untuk privasi

Sistem operasi Microsoft Windows merekodkan maklumat tentang pilihan tontonan tingkap - yang dikenali sebagai maklumat ShellBag - dalam Windows Registry.

Ia menjejaki beberapa maklumat seperti saiz, mod paparan, ikon, masa akses dan tarikh, dan kedudukan folder apabila pengguna menggunakan Windows Explorer.

Apa yang membuat maklumat Shellbag menarik ialah hakikat bahawa Windows tidak memadamkannya apabila folder itu dihapuskan yang bermaksud bahawa maklumat itu boleh digunakan untuk membuktikan kewujudan folder pada sistem.

Forensik menggunakan maklumat sebagai contoh untuk menjejaki folder mana pengguna telah diakses. Ia boleh digunakan untuk mencari apabila folder terakhir dikunjungi, diubah suai atau dibuat pada sistem.

Maklumat ini juga boleh digunakan untuk memaparkan kandungan peranti storan yang boleh tanggal yang disambungkan ke komputer pada masa lalu, dan juga maklumat mengenai jumlah yang disulitkan yang dipasang pada sistem sebelum ini.

Gambaran keseluruhan

Shellbags dicipta apabila pengguna melawat folder pada sistem operasi sekurang-kurangnya sekali. Ini bermakna bahawa mereka boleh digunakan untuk membuktikan bahawa pengguna telah mengakses folder tertentu sekurang-kurangnya sekali sebelum ini.

Windows menyimpan maklumat tersebut ke kunci Pendaftaran berikut:

  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Jika anda menganalisis struktur BagMRU, anda akan melihat banyak bulat yang disimpan di bawah kunci utama. Windows menyimpan maklumat mengenai folder baru dibuka di sini. Setiap item berkaitan dengan sub-folder pada sistem yang dikenal pasti oleh tarikh binari yang disimpan di sub-folder tersebut.

Kekunci Beg di sisi lain menyimpan maklumat mengenai setiap folder termasuk tetapan paparannya.

Maklumat tambahan tentang struktur disediakan oleh kertas yang dipanggil "Menggunakan maklumat Shellbag untuk membina semula aktiviti pengguna" yang boleh anda muat turun dengan klik pada pautan berikut: p69-zhu.pdf

Anda boleh memadam kekunci Pendaftaran mengikut Microsoft untuk menetapkan semula tetapan untuk semua folder:

  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Settings Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

Pada sistem 64-bit tambahan:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Selepas itu, buat semula kekunci berikut:

  • HKEY_CURRENT_USER \ Software \ Classes \ Settings Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

Pada sistem 64-bit tambahan:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Parser perisian

Perisian telah dibuat untuk menghuraikan maklumat dan mempamerkannya dengan mudah untuk menganalisis cara. Terdapat beberapa program yang tersedia untuk tujuan itu. Ada yang telah dibuat untuk mendapatkan bukti forensik sementara yang lain untuk membersihkan data untuk privasi.

Shellbag Analyzer & Cleaner adalah program percuma oleh pembuat PrivaZer yang boleh memaparkan dan membuang maklumat berkaitan Shellbag.

Anda perlu mengklik butang menganalisis untuk mengimbas sistem untuk maklumat berkaitan Shellbag. Aplikasi memaparkan semua entri, yang sedia ada dan untuk folder yang telah dipadam, secara lalai.

Anda boleh menggunakan menu di bahagian atas untuk memaparkan folder yang dipadam, folder rangkaian, hasil carian, folder sedia ada atau panel kawalan dan folder sistem.

Setiap entri dipaparkan dengan nama dan laluannya, kali terakhir ia dikunjungi, jenisnya, kekunci slot di Pejabat Pendaftaran, penciptaan, pengubahsuaian dan masa dan tarikh akses, serta kedudukan dan saiz tingkap.

Satu klik pada pilihan memaparkan bersih untuk menghapuskan jenis maklumat tertentu, tetapi bukan penyertaan individu, dari sistem. Jika anda mengklik pilihan lanjutan, anda akan mendapat ciri tambahan seperti pilihan untuk menulis ganti maklumat, sandaran, atau berebut tarikh.

Mesej berjaya dipaparkan pada akhirnya yang memaklumkan anda mengenai status operasi.

Berikut adalah beberapa alternatif yang boleh anda gunakan:

  • Shellbags adalah parser silang platform yang ditulis dalam Python.
  • Windows Shellbag Parser adalah aplikasi konsol Windows