Microsoft Windows işletim sistemi, Windows Kayıt Defteri'nde pencere görüntüleme tercihleri hakkındaki bilgileri (ShellBag bilgisi olarak bilinir) kaydeder.
Bir kullanıcı Windows Gezgini'ni kullanırken boyut, görünüm modu, simge, erişim saati ve tarihi ve bir klasörün konumu gibi çeşitli bilgileri izler.
Shellbag bilgisini ilginç yapan şey, Windows'un klasör silindiğinde bunları silmemesidir; bu, bilgilerin sistemdeki klasörlerin varlığını kanıtlamak için kullanılabileceği anlamına gelir.
Adli tıp, bilgileri kullanıcının hangi klasörlere eriştiğini takip etmek için kullanır. Bir klasörün en son ne zaman ziyaret edildiğini, değiştirildiğini veya bir sistemde oluşturulduğunu aramak için kullanılabilir.
Bilgi, geçmişte bilgisayara bağlı olan çıkarılabilir depolama aygıtlarının içeriğini ve daha önce sisteme monte edilmiş şifreli birimlerin bilgisini görüntülemek için de kullanılabilir.
genel bakış
Shellbags, bir kullanıcı işletim sistemindeki bir klasörü en az bir kez ziyaret ettiğinde oluşturulur. Bu, kullanıcının en az bir kez belirli bir klasöre eriştiğini kanıtlamak için kullanılabilecekleri anlamına gelir.
Windows bilgileri aşağıdaki Kayıt defteri anahtarlarına kaydeder:
- HKEY_USERS \ Kimliği \ Software \ Microsoft \ Windows \ Shell \ Çanta
- HKEY_USERS \ Kimliği \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ Kimliği \ Software \ Microsoft \ Windows \ ShellNoRoam
BagMRU yapısını analiz ederseniz, ana anahtarın altında depolanmış birçok tamsayı göreceksiniz. Windows yakın zamanda açılan klasörler hakkındaki bilgileri burada saklar. Her öğe, sistemdeki bu alt klasörlerde depolanan ikili tarih ile tanımlanan bir alt klasörle ilgilidir.
Çantalar tuşu ise ekran ayarları da dahil olmak üzere her klasör hakkındaki bilgileri saklar.
Yapı hakkında ek bilgiler, aşağıdaki bağlantıya tıklayarak yükleyebileceğiniz "Kullanıcı faaliyetlerini yeniden yapılandırmak için Shellbag bilgisini kullanma" adlı bir makale ile sağlanmıştır: p69-zhu.pdf
Tüm klasörlerin ayarlarını sıfırlamak için Kayıt Defteri anahtarlarını Microsoft'a göre silebilirsiniz:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Çanta
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam Çanta \
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ Çantalar
64 bit sistemlerde ayrıca:
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Wow6432Node \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ Çanta
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Wow6432Node \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ BagMRU
Daha sonra aşağıdaki anahtarları yeniden oluşturun:
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ Çantalar
64 bit sistemlerde ayrıca:
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Wow6432Node \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ Çanta
- HKEY_CURRENT_USER \ Yazılım \ Sınıflar \ Wow6432Node \ Yerel Ayarlar \ Yazılım \ Microsoft \ Windows \ Shell \ BagMRU
Yazılım ayrıştırıcıları
Bilgilerin ayrıştırılması ve analiz edilmesi kolay bir şekilde gösterilmesi için yazılım oluşturulmuştur. Bu amaç için bir kaç program mevcut. Bazıları adli delilleri almak için yaratılırken, bazıları gizliliği sağlamak için verileri temizler.
Shellbag Analyzer & Cleaner, Shellbag ile ilgili bilgileri görüntüleyip kaldırabilen PrivaZer'in üreticileri tarafından sunulan ücretsiz bir programdır.
Shellbag ile ilgili bilgileri sistemi taramak için analiz düğmesine tıklamanız gerekir. Uygulama, var olanları ve silinmiş klasörleri varsayılan olarak tüm girişleri görüntüler.
Menüyü yalnızca silinen klasörleri, ağ klasörlerini, arama sonuçlarını, mevcut klasörleri veya kontrol panelini ve sistem klasörlerini görüntülemek için kullanabilirsiniz.
Her giriş, adı ve yolu, en son ziyaret edildiği zaman, türü, Kayıt Defteri'ndeki yuva tuşu, oluşturma, değiştirme ve erişim saati ve tarihi ile pencerelerin konumu ve boyutu ile birlikte görüntülenir.
Temiz tıklandığında, belirli türdeki bilgileri kaldırmak, ancak bireysel girişleri sistemden kaldırmak için seçenekler görüntülenir. Gelişmiş seçeneklere tıklarsanız, bilgilerin üzerine yazma, yedekleme yapma veya tarihleri karalama seçeneği gibi ek özellikler alırsınız.
İşlemin durumu hakkında sizi bilgilendiren bir başarı mesajı görüntülenir.
Bunun yerine kullanabileceğiniz bazı alternatifler:
- Shellbags Python ile yazılmış bir çapraz platform çözümleyicidir.
- Windows Shellbag Parser bir Windows konsol uygulamasıdır
