Shellbags
Shellbags 是什么?
Shellbags保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
Shellbags 是位于 HKCU\Software\Microsoft\Windows\Shell\Bags、BagMRU 以及对应的 UsrClass.dat 配置单元下的子键,用于记录用户在资源管理器中打开过的每个文件夹的窗口位置、视图模式和排序方式。每条记录都包含类似 MFT 的时间戳和指向路径的 ShellItem ID 列表,涵盖加密卷、ZIP 压缩包、网络共享以及当前可能已不在线的可移动介质。调查人员据此证明用户打开过某个目录、了解某个文件位置,并重建已销毁 U 盘的历史目录结构。常用工具包括 Eric Zimmerman 的 ShellBagsExplorer、RegRipper 插件以及 KAPE 模块。
● 示例
- 01
即使 U 盘已被销毁,仍能证明用户访问过名为 exfil_2024 的外部 U 盘文件夹。
- 02
在内部威胁调查中证明用户访问过 \\fileserver\HR$\Salaries 网络共享。
● 常见问题
Shellbags 是什么?
保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。 它属于网络安全的 取证与应急响应 分类。
Shellbags 是什么意思?
保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
Shellbags 是如何工作的?
Shellbags 是位于 HKCU\Software\Microsoft\Windows\Shell\Bags、BagMRU 以及对应的 UsrClass.dat 配置单元下的子键,用于记录用户在资源管理器中打开过的每个文件夹的窗口位置、视图模式和排序方式。每条记录都包含类似 MFT 的时间戳和指向路径的 ShellItem ID 列表,涵盖加密卷、ZIP 压缩包、网络共享以及当前可能已不在线的可移动介质。调查人员据此证明用户打开过某个目录、了解某个文件位置,并重建已销毁 U 盘的历史目录结构。常用工具包括 Eric Zimmerman 的 ShellBagsExplorer、RegRipper 插件以及 KAPE 模块。
如何防御 Shellbags?
针对 Shellbags 的防御通常结合技术控制与运营实践,详见上方完整定义。
Shellbags 还有哪些其他名称?
常见的别称包括: Shell Bags, BagMRU。
● 相关术语
- forensics-ir№ 568
跳转列表 (Jump Lists)
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。