Shellbags
¿Qué es Shellbags?
ShellbagsClaves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
Las shellbags son subclaves bajo HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU y la colmena UsrClass.dat correspondiente, que registran posicion de ventana, modo de vista y orden de cada carpeta que un usuario abre en el Explorador. Cada entrada contiene marcas temporales tipo MFT y una lista ShellItem que describe la ruta, incluyendo volumenes cifrados, archivos ZIP, recursos de red y soportes extraibles que pueden ya no estar conectados. Los investigadores usan las shellbags para probar que un usuario abrio un directorio, demostrar conocimiento de la ubicacion de un archivo y reconstruir estructuras de carpetas de USB ya borrados. Herramientas: ShellBagsExplorer (Eric Zimmerman), plugins de RegRipper y modulos de KAPE.
● Ejemplos
- 01
Demostrar que un usuario navego a una carpeta exfil_2024 en un USB externo aunque el medio ya haya sido destruido.
- 02
Probar el acceso a un recurso de red \\fileserver\HR$\Salaries durante una investigacion de amenaza interna.
● Preguntas frecuentes
¿Qué es Shellbags?
Claves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Shellbags?
Claves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
¿Cómo funciona Shellbags?
Las shellbags son subclaves bajo HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU y la colmena UsrClass.dat correspondiente, que registran posicion de ventana, modo de vista y orden de cada carpeta que un usuario abre en el Explorador. Cada entrada contiene marcas temporales tipo MFT y una lista ShellItem que describe la ruta, incluyendo volumenes cifrados, archivos ZIP, recursos de red y soportes extraibles que pueden ya no estar conectados. Los investigadores usan las shellbags para probar que un usuario abrio un directorio, demostrar conocimiento de la ubicacion de un archivo y reconstruir estructuras de carpetas de USB ya borrados. Herramientas: ShellBagsExplorer (Eric Zimmerman), plugins de RegRipper y modulos de KAPE.
¿Cómo defenderse de Shellbags?
Las defensas contra Shellbags combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shellbags?
Nombres alternativos comunes: Shell Bags, BagMRU.
● Términos relacionados
- forensics-ir№ 568
Jump Lists
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.