Shellbags
¿Qué es Shellbags?
ShellbagsClaves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
Las shellbags son subclaves bajo HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU y la colmena UsrClass.dat correspondiente, que registran posicion de ventana, modo de vista y orden de cada carpeta que un usuario abre en el Explorador. Cada entrada contiene marcas temporales tipo MFT y una lista ShellItem que describe la ruta, incluyendo volumenes cifrados, archivos ZIP, recursos de red y soportes extraibles que pueden ya no estar conectados. Los investigadores usan las shellbags para probar que un usuario abrio un directorio, demostrar conocimiento de la ubicacion de un archivo y reconstruir estructuras de carpetas de USB ya borrados. Herramientas: ShellBagsExplorer (Eric Zimmerman), plugins de RegRipper y modulos de KAPE.
● Ejemplos
- 01
Demostrar que un usuario navego a una carpeta exfil_2024 en un USB externo aunque el medio ya haya sido destruido.
- 02
Probar el acceso a un recurso de red \\fileserver\HR$\Salaries durante una investigacion de amenaza interna.
● Preguntas frecuentes
¿Qué es Shellbags?
Claves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Shellbags?
Claves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
¿Cómo defenderse de Shellbags?
Las defensas contra Shellbags combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shellbags?
Nombres alternativos comunes: Shell Bags, BagMRU.