Shellbag

shellBag

Qu’est-ce que les « ShellBags »

– Les ShellBags contiennent des informations sur les « préférences » des dossiers/bureau utilisateurs.
– Ces informations concernent les fichiers ZIP, dossiers distants, dossiers locaux, et dossiers virtuels… presque tout ce que peut faire un utilisateur !
– En d’autre termes, Microsoft Windows mémorise l’activité de l’utilisateur dans des clés de registre connu sous le nom de « ShellBags »

Quels sont les contextes d »évolution des ShellBags :

– Toutes les opérations de lecture, écriture, modification ou de suppression affecte la mise à jour des ShellBags.

Quelles sont les clés de registre utilisées :

– Deux principales clés de registre : BagMRU et Bags
– Pour la structure de registre Windows 7 et 8 :

  • → %UserProfile%\NTUSER.dat
  • → %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
  • → NTUSER.DAT\Software\Microsoft\Windows\ShellBagMRU
  • → NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
  • → UsrClass.dat\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU
  • → UsrClass.dat\LocalSetting\Software\Microsoft\Windows\Shell\Bags

Utiliter dans le cadre du Forensics :

shellbag_Forensics

– Les ShellBags constituent un exellent moyens de savoir quand et quel dossier un utilisateur a accédé et ainsi établir l’historique d’utilisation de l’ordinateur.

Conclusion :

– On peut s’interroger sur l’existence même de se mécanisme. En effet, les ShellBags étant très peu documentés par Microsoft, on constate qu’ils ne sont pas vraiment destinés aux utilisateurs/administrateurs.
– On pourrait penser que les ShellBags permettent de savoir par exemple, a quand remonte la dernière modifications d’un document pour en sauvegarder uniquement la dernière entrée, mais non car cette fonction est déjà assurée par les métadonnées!!
– Quelles sont les limites entres un  » Keyloggers » et les ShellBags ?
– Pour ma part, je pense que les fonctionnalités associées aux ShellBags sont destinées aux enjeux juridiques et fleurte avec les droits à la vie privée.

Outil :

– Pour ceux qui souhaite effacer leur trace, voici un outil simple et efficace :
shellbag_analyzer_cleaner téléchargable sur le site suivant : Shellbag-analyzer-cleaner

Related Posts

Comments are closed.