Shellbags
Qu'est-ce que Shellbags ?
ShellbagsCles de registre qui stockent les preferences d'affichage par utilisateur de l'Explorateur Windows et servent de preuve qu'un utilisateur a ouvert un dossier specifique, y compris des chemins amovibles ou reseau.
Les shellbags sont des sous-cles situees sous HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU et la ruche UsrClass.dat correspondante, qui memorisent la position de la fenetre, le mode d'affichage et l'ordre de tri pour chaque dossier ouvert par un utilisateur dans l'Explorateur. Chaque entree contient des horodatages similaires a la MFT et une liste de ShellItem ID decrivant le chemin, y compris volumes chiffres, archives ZIP, partages reseau et supports amovibles qui peuvent ne plus etre connectes. Les enqueteurs utilisent les shellbags pour prouver l'ouverture d'un repertoire, demontrer la connaissance d'un emplacement de fichier et reconstruire l'arborescence d'une cle USB effacee. Outils : ShellBagsExplorer (Eric Zimmerman), plugins RegRipper et modules KAPE.
● Exemples
- 01
Montrer qu'un utilisateur a navigue dans un dossier USB nomme exfil_2024 meme apres destruction du support.
- 02
Prouver l'acces a un partage reseau \\fileserver\HR$\Salaries dans une enquete de menace interne.
● Questions fréquentes
Qu'est-ce que Shellbags ?
Cles de registre qui stockent les preferences d'affichage par utilisateur de l'Explorateur Windows et servent de preuve qu'un utilisateur a ouvert un dossier specifique, y compris des chemins amovibles ou reseau. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Shellbags ?
Cles de registre qui stockent les preferences d'affichage par utilisateur de l'Explorateur Windows et servent de preuve qu'un utilisateur a ouvert un dossier specifique, y compris des chemins amovibles ou reseau.
Comment fonctionne Shellbags ?
Les shellbags sont des sous-cles situees sous HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU et la ruche UsrClass.dat correspondante, qui memorisent la position de la fenetre, le mode d'affichage et l'ordre de tri pour chaque dossier ouvert par un utilisateur dans l'Explorateur. Chaque entree contient des horodatages similaires a la MFT et une liste de ShellItem ID decrivant le chemin, y compris volumes chiffres, archives ZIP, partages reseau et supports amovibles qui peuvent ne plus etre connectes. Les enqueteurs utilisent les shellbags pour prouver l'ouverture d'un repertoire, demontrer la connaissance d'un emplacement de fichier et reconstruire l'arborescence d'une cle USB effacee. Outils : ShellBagsExplorer (Eric Zimmerman), plugins RegRipper et modules KAPE.
Comment se défendre contre Shellbags ?
Les défenses contre Shellbags combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Shellbags ?
Noms alternatifs courants : Shell Bags, BagMRU.
● Termes liés
- forensics-ir№ 568
Jump Lists
Fichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.