ระบบปฏิบัติการ Microsoft Windows บันทึกข้อมูลเกี่ยวกับการตั้งค่าการดูหน้าต่างที่รู้จักกันในชื่อข้อมูล ShellBag ใน Windows Registry
มันจะติดตามข้อมูลหลายอย่างเช่นขนาด, โหมดดู, ไอคอน, เวลาในการเข้าถึงและวันที่และตำแหน่งของโฟลเดอร์เมื่อผู้ใช้ใช้ Windows Explorer
สิ่งที่ทำให้ข้อมูล Shellbag น่าสนใจคือความจริงที่ว่า Windows ไม่ได้ลบออกเมื่อโฟลเดอร์ถูกลบซึ่งหมายความว่าสามารถใช้ข้อมูลเพื่อพิสูจน์การมีอยู่ของโฟลเดอร์ในระบบ
นิติวิทยาศาสตร์ใช้ข้อมูลเช่นในการติดตามว่าผู้ใช้เข้าถึงโฟลเดอร์ใด มันสามารถใช้ในการค้นหาเมื่อโฟลเดอร์ถูกเยี่ยมชมล่าสุดแก้ไขหรือสร้างในระบบ
ข้อมูลยังสามารถใช้เพื่อแสดงเนื้อหาของอุปกรณ์เก็บข้อมูลแบบถอดได้ที่เชื่อมต่อกับคอมพิวเตอร์ในอดีตและข้อมูลของโวลุ่มที่เข้ารหัสซึ่งติดตั้งอยู่บนระบบก่อน
ภาพรวม
Shellbags ถูกสร้างขึ้นเมื่อผู้ใช้เยี่ยมชมโฟลเดอร์บนระบบปฏิบัติการอย่างน้อยหนึ่งครั้ง ซึ่งหมายความว่าพวกเขาสามารถใช้เพื่อพิสูจน์ว่าผู้ใช้ได้เข้าถึงโฟลเดอร์เฉพาะอย่างน้อยหนึ่งครั้งก่อน
Windows บันทึกข้อมูลลงในคีย์รีจิสทรีต่อไปนี้:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ กระเป๋า
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
หากคุณวิเคราะห์โครงสร้าง BagMRU คุณจะสังเกตเห็นจำนวนเต็มที่เก็บอยู่ภายใต้คีย์หลัก Windows จัดเก็บข้อมูลเกี่ยวกับโฟลเดอร์ที่เพิ่งเปิดที่นี่ แต่ละรายการจะเกี่ยวข้องกับโฟลเดอร์ย่อยในระบบซึ่งจะระบุวันที่แบบไบนารีที่เก็บไว้ในโฟลเดอร์ย่อยเหล่านั้น
ปุ่มกระเป๋าในทางกลับกันจะเก็บข้อมูลเกี่ยวกับแต่ละโฟลเดอร์รวมถึงการตั้งค่าการแสดงผล
ข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างนั้นจัดทำโดยกระดาษที่เรียกว่า "การใช้ข้อมูล Shellbag เพื่อสร้างกิจกรรมผู้ใช้ใหม่" ซึ่งคุณสามารถดาวน์โหลดได้ด้วยการคลิกที่ลิงค์ต่อไปนี้: p69-zhu.pdf
คุณสามารถลบคีย์รีจิสทรีตาม Microsoft เพื่อรีเซ็ตการตั้งค่าสำหรับโฟลเดอร์ทั้งหมด:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ กระเป๋า
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ กระเป๋า
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU HKEY_CURRENT_USER
- การตั้งค่า Settings \ Software \ Microsoft \ Windows \ Shell \ Bags HKEY_CURRENT_USER \ Software \ Classes \ Local
บนระบบ 64 บิตเพิ่มเติม:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
หลังจากนั้นสร้างคีย์ต่อไปนี้อีกครั้ง:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU HKEY_CURRENT_USER
- การตั้งค่า Settings \ Software \ Microsoft \ Windows \ Shell \ Bags HKEY_CURRENT_USER \ Software \ Classes \ Local
บนระบบ 64 บิตเพิ่มเติม:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
ตัวแยกวิเคราะห์ซอฟต์แวร์
ซอฟต์แวร์ถูกสร้างขึ้นเพื่อวิเคราะห์ข้อมูลและแสดงผลในวิธีที่ง่ายต่อการวิเคราะห์ มีโปรแกรมไม่กี่โปรแกรมสำหรับวัตถุประสงค์ดังกล่าว บางคนถูกสร้างขึ้นเพื่อดึงหลักฐานทางนิติเวชในขณะที่คนอื่น ๆ เพื่อทำความสะอาดข้อมูลเพื่อความเป็นส่วนตัว
Shellbag Analyzer & Cleaner เป็นโปรแกรมฟรีโดยผู้ผลิต PrivaZer ที่สามารถแสดงและลบข้อมูลที่เกี่ยวข้องกับ Shellbag
คุณต้องคลิกที่ปุ่มวิเคราะห์เพื่อสแกนระบบสำหรับข้อมูลที่เกี่ยวข้องกับ Shellbag แอปพลิเคชั่นจะแสดงรายการทั้งหมดรายการที่มีอยู่และสำหรับโฟลเดอร์ที่ถูกลบโดยค่าเริ่มต้น
คุณสามารถใช้เมนูที่ด้านบนเพื่อแสดงเฉพาะโฟลเดอร์ที่ถูกลบโฟลเดอร์เครือข่ายผลการค้นหาโฟลเดอร์ที่มีอยู่หรือแผงควบคุมและโฟลเดอร์ระบบ
แต่ละรายการจะแสดงพร้อมชื่อและเส้นทางของมันครั้งล่าสุดที่มีการเยี่ยมชมประเภทของช่องเสียบคีย์ในรีจิสทรีการสร้างการปรับเปลี่ยนและเวลาและวันที่ในการเข้าถึงรวมถึงตำแหน่งและขนาดของหน้าต่าง
การคลิกที่ตัวเลือกที่สะอาดจะแสดงตัวเลือกเพื่อลบข้อมูลบางประเภท แต่ไม่ใช่เฉพาะบางรายการออกจากระบบ หากคุณคลิกที่ตัวเลือกขั้นสูงคุณจะได้รับคุณสมบัติเพิ่มเติมเช่นตัวเลือกในการเขียนทับข้อมูลสำรองหรือช่วงชิงวันที่
ข้อความแสดงความสำเร็จจะปรากฏขึ้นในท้ายที่สุดซึ่งจะแจ้งให้คุณทราบเกี่ยวกับสถานะของการดำเนินการ
นี่คือทางเลือกที่คุณสามารถใช้แทน:
- Shellbags เป็นตัวแยกวิเคราะห์ข้ามแพลตฟอร์มที่เขียนด้วย Python
- Windows Shellbag Parser เป็นแอปพลิเคชั่นคอนโซลของ Windows
