Як видалити старі записи Shellbag в Windows для конфіденційності

Операційна система Microsoft Windows записує інформацію про налаштування перегляду вікон - відому як інформація ShellBag - в Реєстр Windows.

Він відслідковує декілька відомостей, таких як розмір, режим перегляду, значок, час і дата доступу та положення папки, коли користувач використовує Провідник Windows.

Те, що робить інформацію про Shellbag цікавою, це те, що Windows не видаляє їх, коли папка видаляється, що означає, що ця інформація може бути використана для підтвердження існування папок у системі.

Криміналісти використовують, наприклад, інформацію, щоб відстежувати, до яких папок користувач звертався. З його допомогою можна шукати, коли папку востаннє відвідували, змінювали чи створювали в системі.

Інформація також може використовуватися для відображення вмісту знімних пристроїв зберігання даних, які раніше були підключені до комп'ютера, а також інформації про зашифровані томи, які були встановлені в системі раніше.

Огляд

Мішки оболонки створюються, коли користувач хоча б раз відвідує папку в операційній системі. Це означає, що з їх допомогою можна довести, що користувач хоча б один раз звертався до певної папки.

Windows зберігає інформацію в наступні ключі реєстру:

HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ Мішки
HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_USERS \ ID \ Software \ Microsoft \ Windows \ ShellNoRoam

Якщо ви аналізуєте структуру BagMRU, ви помітите багато цілих чисел, що зберігаються під головним ключем. Тут зберігається інформація про нещодавно відкриті папки. Кожен елемент пов'язаний з підпапкою в системі, яка ідентифікується за двійковою датою, що зберігається в цих підпапках.

Клавіша "Сумки" з іншого боку зберігає інформацію про кожну папку, включаючи її параметри відображення.

Додаткову інформацію про структуру надає документ під назвою "Використання інформації Shellbag для відновлення діяльності користувачів", який ви можете завантажити, натиснувши на наступне посилання: p69-zhu.pdf

Ви можете видалити ключі реєстру відповідно до Microsoft, щоб скинути налаштування для всіх папок:

HKEY_CURRENT_USER \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ Мішки
HKEY_CURRENT_USER \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Програмне забезпечення \ Microsoft \ Windows \ ShellNoRoam \ Сумки
HKEY_CURRENT_USER \ Програмне забезпечення \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Локальні настройки \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ Мішки

На 64-бітних системах додатково:

HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Wow6432Node \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ Мішки
HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Wow6432Node \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ BagMRU

Після цього заново створіть такі клавіші:

HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Локальні настройки \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ BagMRU
HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ Мішки

На 64-бітних системах додатково:

HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Wow6432Node \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ Мішки
HKEY_CURRENT_USER \ Програмне забезпечення \ Класи \ Wow6432Node \ Локальні налаштування \ Програмне забезпечення \ Microsoft \ Windows \ Shell \ BagMRU

Програмні аналізатори

Програмне забезпечення було створено для розбору інформації та їх відображення у простому для аналізу способі. Для цього існує досить багато програм. Деякі були створені для отримання криміналістичних доказів, а інші для очищення даних для конфіденційності.

Shellbag Analyzer & Cleaner - це безкоштовна програма виробників PrivaZer, яка може відображати та видаляти інформацію, пов’язану з Shellbag.

Вам потрібно натиснути кнопку аналізу, щоб сканувати систему на предмет інформації, що стосується Shellbag. Програма відображає за замовчуванням усі записи, існуючі та папки, які були видалені.

Ви можете використовувати меню вгорі, щоб відображати лише видалені папки, мережеві папки, результати пошуку, наявні папки або панель управління та системні папки.

Кожен запис відображається з його ім'ям та шляхом, останній раз, коли він був відвіданий, його тип, ключ слота в Реєстрі, створення, модифікація та час та дата доступу, а також положення та розмір вікна.

Клацніть на чисті параметри, щоб видалити із системи певні типи інформації, але не окремі записи. Якщо натиснути на розширені параметри, ви отримаєте додаткові функції, такі як опція перезаписати інформацію, створити резервну копію або скремтувати дати.