Cách xóa các mục Shellbag cũ trong Windows để bảo mật

bài viết

Hệ điều hành Microsoft Windows ghi lại thông tin về các tùy chọn xem cửa sổ - được gọi là thông tin ShellBag - trong Windows Registry.

Nó theo dõi một số thông tin như kích thước, chế độ xem, biểu tượng, thời gian truy cập và ngày và vị trí của thư mục khi người dùng sử dụng Windows Explorer.

Điều làm cho thông tin của Shellbag trở nên thú vị là Windows không xóa chúng khi thư mục bị xóa, điều đó có nghĩa là thông tin có thể được sử dụng để chứng minh sự tồn tại của các thư mục trên hệ thống.

Pháp y sử dụng thông tin chẳng hạn để theo dõi thư mục nào người dùng đã truy cập. Nó có thể được sử dụng để tra cứu khi thư mục được truy cập lần cuối, sửa đổi hoặc tạo trên hệ thống.

Thông tin cũng có thể được sử dụng để hiển thị nội dung của các thiết bị lưu trữ di động được kết nối với máy tính trước đây và thông tin về các khối lượng được mã hóa được gắn trên hệ thống trước đó.

Tổng quan

Shellbag được tạo khi người dùng truy cập một thư mục trên hệ điều hành ít nhất một lần. Điều này có nghĩa là chúng có thể được sử dụng để chứng minh rằng người dùng đã truy cập một thư mục cụ thể ít nhất một lần trước đó.

Windows lưu thông tin vào các khóa Registry sau:

  • HKEY_USERS \ ID \ Phần mềm \ Microsoft \ Windows \ Shell \ Túi
  • HKEY_USERS \ ID \ Phần mềm \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Nếu bạn phân tích cấu trúc BagMRU, bạn sẽ nhận thấy nhiều số nguyên được lưu trữ dưới khóa chính. Windows lưu trữ thông tin về các thư mục được mở gần đây tại đây. Mỗi mục có liên quan đến một thư mục con trên hệ thống được xác định bởi ngày nhị phân được lưu trữ trong các thư mục con đó.

Mặt khác, phím Túi lưu trữ thông tin về từng thư mục bao gồm các cài đặt hiển thị của nó.

Thông tin bổ sung về cấu trúc được cung cấp bởi một bài báo có tên "Sử dụng thông tin Shellbag để tái cấu trúc các hoạt động của người dùng" mà bạn có thể tải xuống bằng cách nhấp vào liên kết sau: p69-zhu.pdf

Bạn có thể xóa các khóa Sổ đăng ký theo Microsoft để đặt lại cài đặt cho tất cả các thư mục:

  • HKEY_CURRENT_USER \ Phần mềm \ Microsoft \ Windows \ Shell \ Túi
  • HKEY_CURRENT_USER \ Phần mềm \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Túi
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bag

Trên các hệ thống 64 bit bổ sung:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Cài đặt cục bộ \ Phần mềm \ Microsoft \ Windows \ Shell \ Túi
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Cài đặt cục bộ \ Phần mềm \ Microsoft \ Windows \ Shell \ BagMRU

Sau đó, tạo lại các phím sau:

  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU
  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ Bag

Trên các hệ thống 64 bit bổ sung:

  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Cài đặt cục bộ \ Phần mềm \ Microsoft \ Windows \ Shell \ Túi
  • HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Cài đặt cục bộ \ Phần mềm \ Microsoft \ Windows \ Shell \ BagMRU

Trình phân tích cú pháp phần mềm

Phần mềm đã được tạo ra để phân tích thông tin và hiển thị nó một cách dễ dàng để phân tích. Có khá nhiều chương trình có sẵn cho mục đích đó. Một số đã được tạo ra để lấy bằng chứng pháp y trong khi những người khác để làm sạch dữ liệu cho sự riêng tư.

Shellbag Analyzer & Cleaner là một chương trình miễn phí của các nhà sản xuất PrivaZer có thể hiển thị và xóa thông tin liên quan đến Shellbag.

Bạn cần nhấp vào nút phân tích để quét hệ thống để biết thông tin liên quan đến Shellbag. Ứng dụng hiển thị tất cả các mục, mục hiện có và cho các thư mục đã bị xóa theo mặc định.

Bạn có thể sử dụng menu ở trên cùng để chỉ hiển thị các thư mục đã xóa, thư mục mạng, kết quả tìm kiếm, thư mục hiện có hoặc bảng điều khiển và thư mục hệ thống.

Mỗi mục được hiển thị với tên và đường dẫn của nó, lần cuối cùng được truy cập, loại, khóa vị trí trong Sổ đăng ký, tạo, sửa đổi và thời gian và ngày truy cập, cũng như vị trí và kích thước cửa sổ.

Nhấp chuột vào các tùy chọn hiển thị sạch để xóa các loại thông tin cụ thể, nhưng không phải các mục riêng lẻ, khỏi hệ thống. Nếu bạn nhấp vào tùy chọn nâng cao, bạn sẽ nhận được các tính năng bổ sung như tùy chọn ghi đè thông tin, sao lưu hoặc xáo trộn ngày.

Một thông báo thành công được hiển thị ở cuối thông báo cho bạn về trạng thái của hoạt động.

Dưới đây là một số lựa chọn thay thế mà bạn có thể sử dụng thay thế:

  • Shellbag là một trình phân tích cú pháp đa nền tảng được viết bằng Python.
  • Windows Shellbag Parser là một ứng dụng giao diện điều khiển Windows

Đề XuấT

Các LoạI Phổ BiếN

bài viếtcác giải pháp