Shellbags.

ユーザーごとの Windows エクスプローラのフォルダー表示設定を保持するレジストリキー。特定のユーザーが特定のフォルダー(リムーバブルやネットワーク経路を含む)を開いた事実を示す証拠となる。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

ユーザーごとの Windows エクスプローラのフォルダー表示設定を保持するレジストリキー。特定のユーザーが特定のフォルダー(リムーバブルやネットワーク経路を含む)を開いた事実を示す証拠となる。

Shellbags は HKCU\Software\Microsoft\Windows\Shell\Bags、BagMRU および対応する UsrClass.dat ハイブ配下のサブキーで、ユーザーがエクスプローラで開いた各フォルダーのウィンドウ位置、表示モード、並び順を記録します。各エントリには MFT 類似のタイムスタンプと、暗号化ボリューム、ZIP アーカイブ、ネットワーク共有、現在は接続されていない可能性のあるリムーバブルメディアを含むパスを表す ShellItem ID のリストが含まれます。調査担当者はこれを用いてユーザーがディレクトリを開いた事実、ファイル所在の認識、廃棄済み USB のフォルダー構造の再構築を行います。ツールには Eric Zimmerman の ShellBagsExplorer、RegRipper のプラグイン、KAPE モジュールなどがあります。

Shellbags に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: Shell Bags, BagMRU。