Sistem operasi Microsoft Windows mencatat informasi tentang preferensi tampilan jendela - dikenal sebagai informasi ShellBag - di dalam Windows Registry.
Ini melacak beberapa informasi seperti ukuran, mode tampilan, ikon, waktu dan tanggal akses, dan posisi folder ketika pengguna menggunakan Windows Explorer.
Apa yang membuat informasi Shellbag menarik adalah kenyataan bahwa Windows tidak menghapusnya ketika folder dihapus yang berarti bahwa informasi tersebut dapat digunakan untuk membuktikan keberadaan folder pada sistem.
Forensik menggunakan informasi misalnya untuk melacak folder mana yang telah diakses pengguna. Ini dapat digunakan untuk mencari ketika folder terakhir dikunjungi, dimodifikasi atau dibuat pada suatu sistem.
Informasi ini juga dapat digunakan untuk menampilkan konten perangkat penyimpanan yang dapat dilepas yang terhubung ke komputer di masa lalu, dan juga informasi volume terenkripsi yang dipasang pada sistem sebelumnya.
Ikhtisar
Shellbag dibuat ketika pengguna mengunjungi folder pada sistem operasi setidaknya sekali. Ini berarti bahwa mereka dapat digunakan untuk membuktikan bahwa pengguna telah mengakses folder tertentu setidaknya sekali sebelumnya.
Windows menyimpan informasi ke kunci Registry berikut:
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam
Jika Anda menganalisis struktur BagMRU Anda akan melihat banyak bilangan bulat yang disimpan di bawah kunci utama. Windows menyimpan informasi tentang folder yang baru dibuka di sini. Setiap item terkait dengan sub-folder pada sistem yang diidentifikasi oleh tanggal biner yang disimpan dalam sub-folder tersebut.
Tombol Tas di sisi lain menyimpan informasi tentang setiap folder termasuk pengaturan tampilan.
Informasi tambahan tentang struktur disediakan oleh makalah yang disebut "Menggunakan informasi Shellbag untuk merekonstruksi kegiatan pengguna" yang dapat Anda unduh dengan mengklik tautan berikut: p69-zhu.pdf
Anda dapat menghapus kunci Registry menurut Microsoft untuk mengatur ulang pengaturan untuk semua folder:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ Bags
Pada sistem 64-bit tambahan:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Setelah itu, buat kembali kunci berikut:
- HKEY_CURRENT_USER \ Software \ Classes \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ Bags
Pada sistem 64-bit tambahan:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Pengaturan Lokal \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Parser perangkat lunak
Perangkat lunak telah dibuat untuk mengurai informasi dan menampilkannya dengan cara yang mudah dianalisis. Ada beberapa program yang tersedia untuk tujuan itu. Beberapa telah dibuat untuk mengambil bukti forensik sementara yang lain untuk membersihkan data untuk privasi.
Shellbag Analyzer & Cleaner adalah program gratis oleh pembuat PrivaZer yang dapat menampilkan dan menghapus informasi terkait Shellbag.
Anda perlu mengklik tombol analisis untuk memindai sistem untuk informasi terkait Shellbag. Aplikasi menampilkan semua entri, yang sudah ada dan untuk folder yang telah dihapus, secara default.
Anda dapat menggunakan menu di atas untuk hanya menampilkan folder yang dihapus, folder jaringan, hasil pencarian, folder yang ada atau panel kontrol dan folder sistem.
Setiap entri ditampilkan dengan nama dan jalurnya, terakhir kali dikunjungi, jenisnya, kunci slot di Registry, pembuatan, modifikasi dan akses waktu dan tanggal, serta posisi dan ukuran windows.
Klik pada opsi tampilan bersih untuk menghapus jenis informasi tertentu, tetapi tidak entri individual, dari sistem. Jika Anda mengeklik opsi lanjutan, Anda mendapatkan fitur tambahan seperti opsi untuk menimpa informasi, membuat cadangan, atau mengacak tanggal.
Pesan sukses ditampilkan pada akhirnya yang memberi tahu Anda tentang status operasi.
Berikut ini beberapa alternatif yang bisa Anda gunakan:
- Shellbags adalah parser lintas platform yang ditulis dengan Python.
- Windows Shellbag Parser adalah aplikasi konsol Windows
