Kako odstraniti stare vnose v Shellbag v sistemu Windows zaradi zasebnosti

Operacijski sistem Microsoft Windows beleži podatke o nastavitvah gledanja oken - znanih kot informacije ShellBag - v register Windows.

Ko uporabnik uporablja Windows Explorer, spremlja več informacij, kot so velikost, način prikaza, ikona, čas dostopa in datum ter položaj mape.

Informacije o Shellbag so zanimive zaradi dejstva, da jih Windows ne izbriše, ko se mapa izbriše, kar pomeni, da lahko podatke uporabijo za dokazovanje obstoja map v sistemu.

Forenziki na primer uporabljajo podatke, da spremljajo, do katerih map je uporabnik dostopal. Uporabite ga lahko za iskanje, ko je bila mapa nazadnje obiskana, spremenjena ali ustvarjena v sistemu.

Te informacije se lahko uporabijo tudi za prikaz vsebine odstranljivih pomnilniških naprav, ki so bile v preteklosti povezane z računalnikom, pa tudi informacij o šifriranih zvezkih, ki so bili nameščeni v sistemu prej.

Pregled

Črtne vrečke se ustvarijo, ko uporabnik vsaj enkrat obišče mapo v operacijskem sistemu. To pomeni, da jih je mogoče uporabiti za dokazovanje, da je uporabnik do določene mape dostopal vsaj enkrat prej.

Windows podatke shrani v naslednje registrske ključe:

HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Vrečke
HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Če analizirate strukturo BagMRU, boste opazili veliko celih števil, shranjenih pod glavnim ključem. Windows tukaj hrani podatke o nedavno odprtih mapah. Vsak element je povezan s podmapo v sistemu, ki je prepoznana po binarnem datumu, shranjenem v teh podmapah.

Tipka Vrečke na drugi strani hrani podatke o vsaki mapi, vključno z nastavitvami zaslona.

Dodatne informacije o strukturi ponuja dokument z naslovom "Uporaba informacij Shellbag za rekonstrukcijo uporabniških dejavnosti", ki ga lahko prenesete s klikom na naslednjo povezavo: p69-zhu.pdf

Po Microsoftu lahko izbrišete ključe registra in ponastavite nastavitve za vse mape:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Vrečke
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Torbe
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ Vrečke

V 64-bitnih sistemih dodatno:

HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Wow6432Node \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ Vrečke
HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Wow6432Node \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ BagMRU

Nato znova ustvarite naslednje tipke:

HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ Vrečke

V 64-bitnih sistemih dodatno:

HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Wow6432Node \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ Vrečke
HKEY_CURRENT_USER \ Programska oprema \ Razredi \ Wow6432Node \ Lokalne nastavitve \ Programska oprema \ Microsoft \ Windows \ Shell \ BagMRU

Programska oprema za razbijanje

Programska oprema je bila ustvarjena za razčlenitev informacij in njihovo prikazovanje na enostaven način za analizo. V ta namen je na voljo kar nekaj programov. Nekateri so bili ustvarjeni za pridobivanje forenzičnih dokazov, drugi pa za čiščenje podatkov zaradi zasebnosti.

Shellbag Analyzer & Cleaner je brezplačen program proizvajalcev PrivaZer, ki lahko prikaže in odstrani informacije, povezane s Shellbag.

Če želite skenirati sistem glede informacij, povezanih s Shellbag, kliknite gumb za analizo. Aplikacija privzeto prikaže vse vnose, obstoječe in za izbrisane mape.

V zgornjem meniju lahko uporabite samo izbrisane mape, mrežne mape, rezultate iskanja, obstoječe mape ali nadzorno ploščo in sistemske mape.

Vsak vnos je prikazan z imenom in potjo, zadnjič, ko ga je obiskal, vrsto, ključ v reži v registru, ustvarjanje, spreminjanje in čas ter datum dostopa ter položaj in velikost okna.

S klikom na čiste možnosti prikaže, da iz sistema odstranite določene vrste informacij, ne pa posameznih vnosov. Če kliknete napredne možnosti, dobite dodatne funkcije, kot je možnost za prepisovanje podatkov, varnostno kopiranje ali pomikanje datumov.