Shellbags
O que é Shellbags?
ShellbagsChaves de registro que armazenam as preferencias de visualizacao de pastas do Explorer por usuario e servem como prova forense de que um usuario abriu uma pasta especifica, inclusive em midias removiveis ou caminhos de rede.
Shellbags sao subchaves em HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU e na colmeia UsrClass.dat correspondente que registram posicao da janela, modo de visualizacao e ordenacao de cada pasta aberta pelo usuario no Explorer. Cada entrada contem carimbos de tempo similares aos da MFT e uma lista de ShellItem ID descrevendo o caminho, incluindo volumes criptografados, arquivos ZIP, compartilhamentos de rede e midias removiveis que podem ja nao estar conectadas. Investigadores usam shellbags para provar que um usuario abriu um diretorio, demonstrar conhecimento do local de um arquivo e reconstruir estruturas de pastas de USBs ja apagados. Ferramentas: ShellBagsExplorer (Eric Zimmerman), plugins do RegRipper e modulos KAPE.
● Exemplos
- 01
Mostrar que um usuario navegou em uma pasta exfil_2024 em USB externo mesmo depois de destruido o dispositivo.
- 02
Provar acesso ao compartilhamento de rede \\fileserver\HR$\Salaries em uma investigacao de ameaca interna.
● Perguntas frequentes
O que é Shellbags?
Chaves de registro que armazenam as preferencias de visualizacao de pastas do Explorer por usuario e servem como prova forense de que um usuario abriu uma pasta especifica, inclusive em midias removiveis ou caminhos de rede. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Shellbags?
Chaves de registro que armazenam as preferencias de visualizacao de pastas do Explorer por usuario e servem como prova forense de que um usuario abriu uma pasta especifica, inclusive em midias removiveis ou caminhos de rede.
Como funciona Shellbags?
Shellbags sao subchaves em HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU e na colmeia UsrClass.dat correspondente que registram posicao da janela, modo de visualizacao e ordenacao de cada pasta aberta pelo usuario no Explorer. Cada entrada contem carimbos de tempo similares aos da MFT e uma lista de ShellItem ID descrevendo o caminho, incluindo volumes criptografados, arquivos ZIP, compartilhamentos de rede e midias removiveis que podem ja nao estar conectadas. Investigadores usam shellbags para provar que um usuario abriu um diretorio, demonstrar conhecimento do local de um arquivo e reconstruir estruturas de pastas de USBs ja apagados. Ferramentas: ShellBagsExplorer (Eric Zimmerman), plugins do RegRipper e modulos KAPE.
Como se defender contra Shellbags?
As defesas contra Shellbags costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Shellbags?
Nomes alternativos comuns: Shell Bags, BagMRU.
● Termos relacionados
- forensics-ir№ 568
Jump Lists
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.