Hoe oude Shellbag-vermeldingen in Windows te verwijderen voor privacy

Het Microsoft Windows-besturingssysteem registreert informatie over voorkeuren voor vensterweergave - ook bekend als ShellBag-informatie - in het Windows-register.

Het houdt verschillende informatie bij, zoals de grootte, weergavemodus, pictogram, toegangstijd en -datum en positie van een map wanneer een gebruiker Windows Explorer gebruikt.

Wat Shellbag-informatie interessant maakt, is het feit dat Windows ze niet verwijdert wanneer de map wordt verwijderd, wat betekent dat de informatie kan worden gebruikt om het bestaan ​​van mappen op het systeem te bewijzen.

Forensics gebruikt de informatie bijvoorbeeld om bij te houden tot welke mappen een gebruiker toegang heeft gehad. Het kan worden gebruikt om op te zoeken wanneer een map voor het laatst is bezocht, gewijzigd of gemaakt op een systeem.

De informatie kan ook worden gebruikt om de inhoud weer te geven van verwijderbare opslagapparaten die in het verleden op de computer waren aangesloten, en ook informatie over gecodeerde volumes die eerder op het systeem waren gemonteerd.

Overzicht

Shellbags worden gemaakt wanneer een gebruiker een map op het besturingssysteem minstens één keer bezoekt. Dit betekent dat ze kunnen worden gebruikt om te bewijzen dat een gebruiker minstens één keer eerder toegang heeft gehad tot een bepaalde map.

Windows slaat de informatie op in de volgende registersleutels:

  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Als u de BagMRU-structuur analyseert, ziet u dat veel gehele getallen zijn opgeslagen onder de hoofdsleutel. Windows slaat hier informatie over de onlangs geopende mappen op. Elk item is gerelateerd aan een submap op het systeem die wordt geïdentificeerd door de binaire datum die is opgeslagen in die submappen.

De Tassen-toets daarentegen slaat informatie over elke map op, inclusief de weergave-instellingen.

Aanvullende informatie over de structuur wordt geleverd door een paper met de naam "Shellbag-informatie gebruiken om gebruikersactiviteiten te reconstrueren", die u kunt downloaden met een klik op de volgende link: p69-zhu.pdf

U kunt de registersleutels volgens Microsoft verwijderen om de instellingen voor alle mappen opnieuw in te stellen:

  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

Op 64-bits systemen bovendien:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Maak daarna de volgende sleutels opnieuw:

  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

Op 64-bits systemen bovendien:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Softwareparsers

Er is software gemaakt om de informatie te analyseren en op een eenvoudig te analyseren manier weer te geven. Daarvoor zijn nogal wat programma's beschikbaar. Sommige zijn gemaakt om forensisch bewijs te verzamelen, andere om de gegevens schoon te maken voor privacy.

Shellbag Analyzer & Cleaner is een gratis programma van de makers van PrivaZer dat Shellbag-gerelateerde informatie kan weergeven en verwijderen.

U moet op de knop Analyseren klikken om het systeem te scannen op Shellbag-gerelateerde informatie. De applicatie toont standaard alle ingangen, en voor mappen die zijn verwijderd.

U kunt het menu bovenaan gebruiken om alleen verwijderde mappen, netwerkmappen, zoekresultaten, bestaande mappen of het configuratiescherm en systeemmappen weer te geven.

Elk item wordt weergegeven met zijn naam en pad, de laatste keer dat het werd bezocht, het type, de sleutelsleutel in het register, de aanmaak, wijziging en toegangstijd en -datum, evenals de positie en grootte van het venster.

Een klik op schoon toont opties om specifieke soorten informatie, maar geen individuele invoer, uit het systeem te verwijderen. Als u op geavanceerde opties klikt, krijgt u extra functies, zoals een optie om de informatie te overschrijven, een back-up te maken of de datums door elkaar te gooien.

Aan het einde wordt een succesbericht weergegeven dat u informeert over de status van de bewerking.

Hier zijn enkele alternatieven die u in plaats daarvan kunt gebruiken:

  • Shellbags is een platformonafhankelijke parser geschreven in Python.
  • Windows Shellbag Parser is een Windows-consoletoepassing