El sistema operativo Microsoft Windows registra información sobre las preferencias de visualización de ventanas, conocida como información de ShellBag, en el Registro de Windows.
Realiza un seguimiento de varias informaciones, como el tamaño, el modo de visualización, el icono, la hora y fecha de acceso, y la posición de una carpeta cuando un usuario usa el Explorador de Windows.
Lo que hace que la información de Shellbag sea interesante es el hecho de que Windows no los elimina cuando se elimina la carpeta, lo que significa que la información se puede utilizar para demostrar la existencia de carpetas en el sistema.
Los forenses utilizan la información, por ejemplo, para realizar un seguimiento de las carpetas a las que ha accedido un usuario. Se puede usar para buscar cuándo se visitó, modificó o creó por última vez una carpeta en un sistema.
La información también se puede utilizar para mostrar el contenido de dispositivos de almacenamiento extraíbles que se conectaron a la computadora en el pasado, y también información de volúmenes cifrados que se montaron en el sistema anteriormente.
Visión general
Shellbags se crean cuando un usuario visita una carpeta en el sistema operativo al menos una vez. Esto significa que se pueden usar para demostrar que un usuario ha accedido a una carpeta en particular al menos una vez antes.
Windows guarda la información en las siguientes claves del Registro:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Si analiza la estructura BagMRU, notará muchos enteros almacenados bajo la clave principal. Windows almacena información sobre las carpetas abiertas recientemente aquí. Cada elemento está relacionado con una subcarpeta en el sistema que se identifica por la fecha binaria almacenada en esas subcarpetas.
La tecla Bolsas, por otro lado, almacena información sobre cada carpeta, incluida su configuración de visualización.
Se proporciona información adicional sobre la estructura en un documento llamado "Uso de la información de Shellbag para reconstruir las actividades del usuario", que puede descargar haciendo clic en el siguiente enlace: p69-zhu.pdf
Puede eliminar las claves de registro según Microsoft para restablecer la configuración de todas las carpetas:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
En sistemas de 64 bits adicionalmente:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configuración local \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configuración local \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Luego, vuelva a crear las siguientes claves:
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
En sistemas de 64 bits adicionalmente:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configuración local \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Configuración local \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Analizadores de software
El software ha sido creado para analizar la información y mostrarla de una manera fácil de analizar. Hay bastantes programas disponibles para ese propósito. Algunos se han creado para recuperar evidencia forense, mientras que otros limpian los datos para mantener la privacidad.
Shellbag Analyzer & Cleaner es un programa gratuito de los fabricantes de PrivaZer que puede mostrar y eliminar información relacionada con Shellbag.
Debe hacer clic en el botón analizar para escanear el sistema en busca de información relacionada con Shellbag. La aplicación muestra todas las entradas, las existentes y las carpetas que se han eliminado, de forma predeterminada.
Puede usar el menú en la parte superior para mostrar solo las carpetas eliminadas, las carpetas de red, los resultados de búsqueda, las carpetas existentes o las carpetas del panel de control y del sistema.
Cada entrada se muestra con su nombre y ruta, la última vez que se visitó, su tipo, clave de ranura en el Registro, creación, modificación y fecha y hora de acceso, así como la posición y el tamaño de las ventanas.
Un clic en las opciones de pantallas limpias para eliminar tipos específicos de información, pero no entradas individuales, del sistema. Si hace clic en las opciones avanzadas, obtendrá funciones adicionales, como una opción para sobrescribir la información, hacer una copia de seguridad o codificar las fechas.
Al final se muestra un mensaje de éxito que le informa sobre el estado de la operación.
Aquí hay algunas alternativas que puede usar en su lugar:
- Shellbags es un analizador multiplataforma escrito en Python.
- Windows Shellbag Parser es una aplicación de consola de Windows
