Как удалить старые записи Shellbag в Windows для конфиденциальности

Операционная система Microsoft Windows записывает информацию о предпочтениях просмотра окон, известную как информация ShellBag, в реестр Windows.

Он отслеживает некоторые сведения, такие как размер, режим просмотра, значок, время и дату доступа, а также положение папки, когда пользователь использует проводник Windows.

Что делает информацию Shellbag интересной, так это тот факт, что Windows не удаляет их при удалении папки, а это означает, что информация может использоваться для доказательства существования папок в системе.

Криминалистическая экспертиза использует информацию, например, для отслеживания того, к каким папкам получил доступ пользователь. Его можно использовать для поиска времени последнего посещения, изменения или создания папки в системе.

Информация также может использоваться для отображения содержимого съемных запоминающих устройств, которые были подключены к компьютеру в прошлом, а также информации о зашифрованных томах, которые были смонтированы в системе ранее.

Обзор

мешки с ракушками

Shellbags создаются, когда пользователь хотя бы раз посещает папку в операционной системе. Это означает, что их можно использовать, чтобы доказать, что пользователь ранее обращался к определенной папке хотя бы один раз.

Windows сохраняет информацию в следующие разделы реестра:

  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Сумки
  • HKEY_USERS \ ID \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Если вы проанализируете структуру BagMRU, вы заметите много целых чисел, хранящихся под основным ключом. Windows хранит здесь информацию о недавно открытых папках. Каждый элемент связан с подпапкой в ​​системе, которая определяется двоичной датой, хранящейся в этих подпапках.

Клавиша «Сумки», с другой стороны, хранит информацию о каждой папке, включая настройки ее отображения.

Дополнительная информация о структуре представлена ​​в документе под названием «Использование информации Shellbag для восстановления действий пользователей», который вы можете скачать, щелкнув следующую ссылку: p69-zhu.pdf

Вы можете удалить ключи реестра согласно Microsoft чтобы сбросить настройки для всех папок:

  • HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ Shell \ Сумки
  • HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ ShellNoRoam \ Сумки
  • HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

В 64-битных системах дополнительно:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

После этого заново создайте следующие ключи:

  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags

В 64-битных системах дополнительно:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bags
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU

Программные парсеры

Программное обеспечение было создано для анализа информации и отображения ее в удобном для анализа виде. Для этой цели доступно довольно много программ. Некоторые из них были созданы для получения судебных доказательств, а другие — для очистки данных в целях конфиденциальности.

Анализатор и очиститель Shellbag это бесплатная программа от создателей PrivaZer, которая может отображать и удалять информацию, связанную с Shellbag.

анализатор мешков

Вам нужно нажать кнопку «Анализировать», чтобы просканировать систему на предмет информации, связанной с Shellbag. По умолчанию приложение отображает все записи, как существующие, так и удаленные.

Вы можете использовать меню вверху, чтобы отображать только удаленные папки, сетевые папки, результаты поиска, существующие папки или панель управления и системные папки.

Каждая запись отображается с ее именем и путем, временем последнего посещения, ее типом, ключом слота в реестре, временем и датой создания, изменения и доступа, а также положением и размером окна.

Щелчок по очистке отображает параметры для удаления определенных типов информации, но не отдельных записей, из системы. Если вы нажмете на расширенные параметры, вы получите дополнительные функции, такие как возможность перезаписи информации, резервного копирования или шифрования дат.

чистые мешки с ракушками

В конце отображается сообщение об успешном выполнении, информирующее о статусе операции.

Вот несколько альтернатив, которые вы можете использовать вместо этого:

  • Мешки с ракушками — кроссплатформенный парсер, написанный на Python.
  • Парсер Windows Shellbag это консольное приложение Windows