Entry № 1148
Shellbags
Shellbags 是什么?
Shellbags保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
Shellbags 是位于 HKCU\Software\Microsoft\Windows\Shell\Bags、BagMRU 以及对应的 UsrClass.dat 配置单元下的子键,用于记录用户在资源管理器中打开过的每个文件夹的窗口位置、视图模式和排序方式。每条记录都包含类似 MFT 的时间戳和指向路径的 ShellItem ID 列表,涵盖加密卷、ZIP 压缩包、网络共享以及当前可能已不在线的可移动介质。调查人员据此证明用户打开过某个目录、了解某个文件位置,并重建已销毁 U 盘的历史目录结构。常用工具包括 Eric Zimmerman 的 ShellBagsExplorer、RegRipper 插件以及 KAPE 模块。
● 示例
- 01
即使 U 盘已被销毁,仍能证明用户访问过名为 exfil_2024 的外部 U 盘文件夹。
- 02
在内部威胁调查中证明用户访问过 \\fileserver\HR$\Salaries 网络共享。
● 常见问题
Shellbags 是什么?
保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。 它属于网络安全的 取证与应急响应 分类。
Shellbags 是什么意思?
保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
如何防御 Shellbags?
针对 Shellbags 的防御通常结合技术控制与运营实践,详见上方完整定义。
Shellbags 还有哪些其他名称?
常见的别称包括: Shell Bags, BagMRU。