Shellbags
Was ist Shellbags?
ShellbagsRegistry-Schluessel, die benutzerbezogene Explorer-Ordneransichten speichern und als forensischer Nachweis dienen, dass ein bestimmter Nutzer einen bestimmten Ordner geoeffnet hat, auch auf Wechselmedien oder Netzpfaden.
Shellbags sind Unterschluessel unter HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU und der dazugehoerigen UsrClass.dat-Hive, die Fensterposition, Ansichtsmodus und Sortierreihenfolge fuer jeden vom Nutzer im Explorer geoeffneten Ordner festhalten. Jeder Eintrag enthaelt MFT-aehnliche Zeitstempel und eine ShellItem-ID-Liste, die den Pfad beschreibt, einschliesslich verschluesselter Volumes, ZIP-Archive, Netzfreigaben und Wechselmedien, die moeglicherweise nicht mehr verbunden sind. Ermittler beweisen damit, dass ein Nutzer ein Verzeichnis geoeffnet hat, zeigen Kenntnis eines Dateispeicherorts und rekonstruieren Ordnerstrukturen geloeschter USB-Sticks. Werkzeuge: ShellBagsExplorer (Eric Zimmerman), RegRipper-Plugins und KAPE-Module.
● Beispiele
- 01
Nachweis, dass ein Nutzer in einem USB-Ordner exfil_2024 navigierte, selbst nachdem der Stick zerstoert wurde.
- 02
Nachweis des Zugriffs auf eine Netzfreigabe \\fileserver\HR$\Salaries bei einer Insider-Threat-Untersuchung.
● Häufige Fragen
Was ist Shellbags?
Registry-Schluessel, die benutzerbezogene Explorer-Ordneransichten speichern und als forensischer Nachweis dienen, dass ein bestimmter Nutzer einen bestimmten Ordner geoeffnet hat, auch auf Wechselmedien oder Netzpfaden. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Shellbags?
Registry-Schluessel, die benutzerbezogene Explorer-Ordneransichten speichern und als forensischer Nachweis dienen, dass ein bestimmter Nutzer einen bestimmten Ordner geoeffnet hat, auch auf Wechselmedien oder Netzpfaden.
Wie funktioniert Shellbags?
Shellbags sind Unterschluessel unter HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU und der dazugehoerigen UsrClass.dat-Hive, die Fensterposition, Ansichtsmodus und Sortierreihenfolge fuer jeden vom Nutzer im Explorer geoeffneten Ordner festhalten. Jeder Eintrag enthaelt MFT-aehnliche Zeitstempel und eine ShellItem-ID-Liste, die den Pfad beschreibt, einschliesslich verschluesselter Volumes, ZIP-Archive, Netzfreigaben und Wechselmedien, die moeglicherweise nicht mehr verbunden sind. Ermittler beweisen damit, dass ein Nutzer ein Verzeichnis geoeffnet hat, zeigen Kenntnis eines Dateispeicherorts und rekonstruieren Ordnerstrukturen geloeschter USB-Sticks. Werkzeuge: ShellBagsExplorer (Eric Zimmerman), RegRipper-Plugins und KAPE-Module.
Wie schützt man sich gegen Shellbags?
Schutzmaßnahmen gegen Shellbags kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Shellbags?
Übliche alternative Bezeichnungen: Shell Bags, BagMRU.
● Verwandte Begriffe
- forensics-ir№ 568
Jump Lists
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.