Shellbags
Что такое Shellbags?
ShellbagsКлючи реестра, хранящие пользовательские настройки представления папок в Проводнике Windows; служат доказательством того, что конкретный пользователь открывал конкретную папку, включая сменные носители и сетевые пути.
Shellbags — подключи в HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU и соответствующем кусте UsrClass.dat, которые сохраняют положение окна, режим и порядок сортировки для каждой папки, открытой пользователем в Проводнике. Каждая запись содержит MFT-подобные временные метки и список ShellItem ID, описывающий путь, в том числе зашифрованные тома, ZIP-архивы, сетевые шары и съёмные носители, которые могут быть уже отключены. Криминалисты используют shellbags, чтобы доказать факт открытия каталога, продемонстрировать осведомлённость о расположении файла и восстановить структуру каталогов уничтоженных USB-носителей. Инструменты: ShellBagsExplorer (Эрик Циммерман), плагины RegRipper и модули KAPE.
● Примеры
- 01
Показать, что пользователь открывал на внешнем USB папку exfil_2024 даже после уничтожения носителя.
- 02
Доказать обращение к сетевой шаре \\fileserver\HR$\Salaries при расследовании внутреннего нарушения.
● Частые вопросы
Что такое Shellbags?
Ключи реестра, хранящие пользовательские настройки представления папок в Проводнике Windows; служат доказательством того, что конкретный пользователь открывал конкретную папку, включая сменные носители и сетевые пути. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Shellbags?
Ключи реестра, хранящие пользовательские настройки представления папок в Проводнике Windows; служат доказательством того, что конкретный пользователь открывал конкретную папку, включая сменные носители и сетевые пути.
Как работает Shellbags?
Shellbags — подключи в HKCU\Software\Microsoft\Windows\Shell\Bags, BagMRU и соответствующем кусте UsrClass.dat, которые сохраняют положение окна, режим и порядок сортировки для каждой папки, открытой пользователем в Проводнике. Каждая запись содержит MFT-подобные временные метки и список ShellItem ID, описывающий путь, в том числе зашифрованные тома, ZIP-архивы, сетевые шары и съёмные носители, которые могут быть уже отключены. Криминалисты используют shellbags, чтобы доказать факт открытия каталога, продемонстрировать осведомлённость о расположении файла и восстановить структуру каталогов уничтоженных USB-носителей. Инструменты: ShellBagsExplorer (Эрик Циммерман), плагины RegRipper и модули KAPE.
Как защититься от Shellbags?
Защита от Shellbags обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Shellbags?
Распространённые альтернативные названия: Shell Bags, BagMRU.
● Связанные термины
- forensics-ir№ 568
Jump List (Списки переходов)
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.