Hogyan távolíthatjuk el a régi Shellbag-bejegyzéseket a Windowsból az adatvédelem érdekében

• Kategória: Biztonság

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Válassza Ki Az Operációs Rendszert Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Válasszon Kivetési Programot (Opcionálisan) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Írja Le A Problémáját

Kap Egy Választ

Küldje El E -Mailben Mutasd Meg Az Oldalon

A Microsoft Windows operációs rendszer az ablakmegtekintési beállításokkal - ShellBag-néven ismert információkat - rögzíti a Windows rendszerleíró adatbázisban.

Figyelemmel kíséri számos információt, például a méret, a nézet mód, az ikon, a hozzáférési idő és dátum, valamint a mappa helyét, amikor a felhasználó használja a Windows Intézőt.

A Shellbag adatait érdekessé teszi az a tény, hogy a Windows nem törli őket, amikor a mappát törli, ami azt jelenti, hogy az információk felhasználhatók a mappák létezésének igazolására a rendszeren.

A kriminalisztika például az információkat használja annak nyomon követésére, hogy a felhasználó mely mappáihoz fér hozzá. Használható arra, hogy megkeresse, amikor egy mappát utoljára meglátogattak, módosítottak vagy létrehoztak egy rendszeren.

Az információk felhasználhatók a korábban a számítógéphez csatlakoztatott cserélhető tárolóeszközök tartalmának, valamint a rendszerbe korábban a rendszerbe telepített titkosított kötetek megjelenítésére is.

Áttekintés

A héjzsákok akkor jönnek létre, amikor a felhasználó legalább egyszer meglátogat egy mappát az operációs rendszeren. Ez azt jelenti, hogy ezek felhasználhatók annak igazolására, hogy a felhasználó legalább egyszer lépett be egy adott mappába.

A Windows az információkat a következő rendszerleíró kulcsokba menti:

• HKEY_USERS ID Software Microsoft Windows Shell táskák
• HKEY_USERS ID Software Microsoft Windows Shell BagMRU
• HKEY_USERS ID Software Microsoft Windows ShellNoRoam

Ha elemezi a BagMRU struktúráját, sok egész számot fog észlelni, amelyek a fő kulcs alatt vannak tárolva. A Windows itt tárolja a nemrégiben megnyitott mappákra vonatkozó információkat. Minden elem a rendszer almappájához kapcsolódik, amelyet az almappákban tárolt bináris dátum azonosít.

A Táskák gomb viszont az egyes mappákkal kapcsolatos információkat tárolja, beleértve a megjelenítési beállításokat.

A struktúráról további információkat a „Shellbag információk felhasználása a felhasználói tevékenységek rekonstruálására” című cikk nyújt, amely letölthető a következő linkre kattintva: p69-zhu.pdf

Törölheti a rendszerleíró kulcsot a Microsoft szerint az összes mappa beállításainak visszaállításához:

• HKEY_CURRENT_USER Software Microsoft Windows Shell táskák
• HKEY_CURRENT_USER Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam táskák
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
• HKEY_CURRENT_USER Szoftver Osztályok Helyi beállítások Szoftver Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Szoftver Osztályok Helyi beállítások Szoftver Microsoft Windows Shell Táskák

64 bites rendszereken:

• HKEY_CURRENT_USER Szoftver Osztályok Wow6432Node Helyi beállítások Szoftver Microsoft Windows Shell Táskák
• HKEY_CURRENT_USER Szoftver Osztályok Wow6432Node Helyi beállítások Szoftver Microsoft Windows Shell BagMRU

Ezután hozza létre újra a következő kulcsokat:

• HKEY_CURRENT_USER Szoftver Osztályok Helyi beállítások Szoftver Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Szoftver Osztályok Helyi beállítások Szoftver Microsoft Windows Shell Táskák

64 bites rendszereken:

• HKEY_CURRENT_USER Szoftver Osztályok Wow6432Node Helyi beállítások Szoftver Microsoft Windows Shell Táskák
• HKEY_CURRENT_USER Szoftver Osztályok Wow6432Node Helyi beállítások Szoftver Microsoft Windows Shell BagMRU

Szoftver elemzők

A szoftvert úgy hozták létre, hogy elemezze az információkat, és könnyen elemzhető módon jelenítse meg azokat. Erre a célra nagyon sok program áll rendelkezésre. Néhányat azért hoztak létre, hogy kriminalisztikai bizonyítékokat szerezzen, míg mások az adatokat az adatvédelem érdekében tisztítsák meg.

Shellbag analizátor és tisztítószer egy ingyenes program, amelyet a PrivaZer készítői készítenek, amely megjelenítheti és eltávolíthatja a Shellbag-hoz kapcsolódó információkat.

Kattintson az elemzés gombra, hogy átvizsgálja a rendszert a Shellbag-hoz kapcsolódó információkkal. Az alkalmazás alapértelmezés szerint megjeleníti az összes bejegyzést, a meglévőket és a törölt mappákat.

A felső menü segítségével csak a törölt mappákat, a hálózati mappákat, a keresési eredményeket, a meglévő mappákat vagy a kezelőpanel és a rendszer mappákat jelenítheti meg.

Minden bejegyzés megjelenik a nevével és elérési útjával, a legutóbbi látogatáskor, a típusával, a rendszerleíró adatbázisban található nyíl kulcskal, a létrehozás, a módosítás és a hozzáférés idejével és dátumával, valamint az ablakok helyzetével és méretével.

A tiszta gombra kattintva megjelenik az opciók, hogy eltávolítsanak bizonyos típusú információkat, de nem az egyes bejegyzéseket, a rendszerből. Ha rákattint a speciális opciókra, akkor további funkciókat kap, például egy lehetőséget, hogy felülírja az információkat, készítsen biztonsági másolatot vagy összekeverje a dátumokat.

A végén egy sikeres üzenet jelenik meg, amely tájékoztatja Önt a művelet állapotáról.

Íme néhány alternatíva, amelyeket ehelyett használhat:

• Shellbags egy platformon átívelő elemző, Python-ban írva.
• Windows Shellbag elemző egy Windows konzol alkalmazás