يسجل نظام التشغيل Microsoft Windows معلومات حول تفضيلات عرض الإطار - المعروفة باسم معلومات ShellBag - في سجل Windows.
يقوم بتتبع العديد من المعلومات مثل الحجم وطريقة العرض والرمز ووقت الوصول وتاريخه وموضع المجلد عندما يستخدم المستخدم مستكشف Windows.
ما يجعل معلومات Shellbag مثيرة للاهتمام هو حقيقة أن Windows لا يحذفها عند حذف المجلد ، مما يعني أنه يمكن استخدام المعلومات لإثبات وجود مجلدات على النظام.
يستخدم الطب الشرعي المعلومات على سبيل المثال لتتبع المجلدات التي وصل إليها المستخدم. يمكن استخدامه للبحث عن آخر مرة تمت فيها زيارة مجلد أو تعديله أو إنشاؤه على نظام ما.
يمكن أيضًا استخدام المعلومات لعرض محتويات أجهزة التخزين القابلة للإزالة التي كانت متصلة بالكمبيوتر في الماضي ، وكذلك معلومات وحدات التخزين المشفرة التي تم تحميلها على النظام من قبل.
نظرة عامة
يتم إنشاء Shellbags عندما يقوم المستخدم بزيارة مجلد على نظام التشغيل مرة واحدة على الأقل. هذا يعني أنه يمكن استخدامها لإثبات وصول المستخدم إلى مجلد معين مرة واحدة على الأقل من قبل.
يحفظ Windows المعلومات على مفاتيح التسجيل التالية:
- \ مايكروسوفت \ ويندوز \ شل \ حقائب HKEY_USERS \ ID \ البرامج
- HKEY_USERS \ ID \ برامج \ مايكروسوفت \ ويندوز \ شل \ BagMRU
- ShellNoRoam HKEY_USERS \ ID \ برامج \ مايكروسوفت \ ويندوز \
إذا قمت بتحليل بنية BagMRU ستلاحظ العديد من الأعداد الصحيحة المخزنة تحت المفتاح الرئيسي. يخزن Windows معلومات حول المجلدات التي تم فتحها مؤخرًا هنا. يرتبط كل عنصر بمجلد فرعي على النظام يتم تحديده بواسطة التاريخ الثنائي المخزن في هذه المجلدات الفرعية.
يخزن مفتاح الحقائب من ناحية أخرى معلومات حول كل مجلد بما في ذلك إعدادات العرض الخاصة به.
يتم توفير معلومات إضافية حول الهيكل بواسطة ورقة تسمى "استخدام معلومات Shellbag لإعادة بناء أنشطة المستخدم" والتي يمكنك تنزيلها بنقرة واحدة على الرابط التالي: p69-zhu.pdf
يمكنك حذف مفاتيح التسجيل وفقًا لشركة Microsoft لإعادة تعيين الإعدادات لجميع المجلدات:
- \ مايكروسوفت \ ويندوز \ شل \ حقائب HKEY_CURRENT_USER \ البرمجيات
- HKEY_CURRENT_USER \ SOFTWARE \ مايكروسوفت \ ويندوز \ شل \ BagMRU
- \ ShellNoRoam HKEY_CURRENT_USER \ SOFTWARE \ مايكروسوفت \ ويندوز \ حقائب
- \ ShellNoRoam \ BagMRU HKEY_CURRENT_USER \ SOFTWARE \ مايكروسوفت \ ويندوز
- HKEY_CURRENT_USER \ البرامج \ الفئات \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ البرامج \ الفصول \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ Bags
على أنظمة 64 بت بالإضافة إلى ذلك:
- HKEY_CURRENT_USER \ البرامج \ الفئات \ Wow6432 عقدة \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ البرامج \ الفئات \ Wow6432 عقدة \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ BagMRU
بعد ذلك ، أعد إنشاء المفاتيح التالية:
- HKEY_CURRENT_USER \ البرامج \ الفئات \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ البرامج \ الفصول \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ Bags
على أنظمة 64 بت بالإضافة إلى ذلك:
- HKEY_CURRENT_USER \ البرامج \ الفئات \ Wow6432 عقدة \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ البرامج \ الفئات \ Wow6432 عقدة \ الإعدادات المحلية \ البرامج \ Microsoft \ Windows \ Shell \ BagMRU
موزعي البرمجيات
تم إنشاء برنامج لتحليل المعلومات وعرضها بطريقة سهلة لتحليلها. هناك عدد غير قليل من البرامج المتاحة لهذا الغرض. تم إنشاء بعضها لاسترداد الأدلة الجنائية بينما يقوم البعض الآخر بتنظيف البيانات من أجل الخصوصية.
Shellbag Analyzer & Cleaner هو برنامج مجاني من قبل صانعي PrivaZer يمكنهم عرض وإزالة المعلومات المتعلقة بـ Shellbag.
تحتاج إلى النقر فوق الزر "تحليل" لمسح النظام للحصول على معلومات متعلقة بـ Shellbag. يعرض التطبيق جميع الإدخالات ، القائمة منها والمجلدات التي تم حذفها ، بشكل افتراضي.
يمكنك استخدام القائمة في الجزء العلوي لعرض المجلدات المحذوفة أو مجلدات الشبكة أو نتائج البحث أو المجلدات الموجودة أو لوحة التحكم ومجلدات النظام فقط.
يتم عرض كل إدخال باسمه ومساره ، وآخر مرة تمت زيارته ، ونوعه ، ومفتاح الفتحة في السجل ، وإنشاء وتاريخ ووقت التعديل والوصول ، وكذلك موضع وحجم النوافذ.
انقر فوق خيارات الشاشة النظيفة لإزالة أنواع معينة من المعلومات ، ولكن ليس الإدخالات الفردية ، من النظام. إذا قمت بالنقر فوق "خيارات متقدمة" ، فستحصل على ميزات إضافية مثل خيار الكتابة فوق التواريخ أو النسخ الاحتياطي أو التدافع.
يتم عرض رسالة نجاح في النهاية تُعلمك بحالة العملية.
فيما يلي بعض البدائل التي يمكنك استخدامها بدلاً من ذلك:
- Shellbags هو محلل عبر النظام الأساسي مكتوب بلغة Python.
- Windows Shellbag Parser هو تطبيق وحدة تحكم Windows
