Come rimuovere le vecchie voci Shellbag in Windows per la privacy

• Categoria: Sicurezza

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Il sistema operativo Microsoft Windows registra le informazioni sulle preferenze di visualizzazione delle finestre, note come informazioni ShellBag, nel registro di Windows.

Tiene traccia di diverse informazioni come la dimensione, la modalità di visualizzazione, l'icona, l'ora e la data di accesso e la posizione di una cartella quando un utente utilizza Windows Explorer.

Ciò che rende interessanti le informazioni di Shellbag è il fatto che Windows non le elimina quando la cartella viene eliminata, il che significa che le informazioni possono essere utilizzate per dimostrare l'esistenza di cartelle nel sistema.

La scientifica utilizza le informazioni, ad esempio, per tenere traccia delle cartelle a cui ha avuto accesso un utente. Può essere utilizzato per cercare l'ultima volta che una cartella è stata visitata, modificata o creata su un sistema.

Le informazioni possono essere utilizzate anche per visualizzare i contenuti dei dispositivi di archiviazione rimovibili che erano collegati al computer in passato e anche le informazioni dei volumi crittografati che erano stati montati in precedenza sul sistema.

Panoramica

Gli shellbag vengono creati quando un utente visita una cartella sul sistema operativo almeno una volta. Ciò significa che possono essere utilizzati per dimostrare che un utente ha eseguito l'accesso a una determinata cartella almeno una volta in precedenza.

Windows salva le informazioni nelle seguenti chiavi di registro:

• HKEY_USERS ID Software Microsoft Windows shell Borse
• HKEY_USERS ID Software Microsoft Windows shell BagMRU
• HKEY_USERS ID Software Microsoft Windows ShellNoRoam

Se analizzi la struttura BagMRU noterai molti numeri interi memorizzati sotto la chiave principale. Windows memorizza qui le informazioni sulle cartelle aperte di recente. Ogni elemento è correlato a una sottocartella del sistema identificata dalla data binaria memorizzata in tali sottocartelle.

Il tasto Borse, invece, memorizza le informazioni su ciascuna cartella, comprese le impostazioni di visualizzazione.

Ulteriori informazioni sulla struttura sono fornite da un documento intitolato 'Utilizzo delle informazioni di Shellbag per ricostruire le attività degli utenti' che è possibile scaricare con un clic sul seguente collegamento: p69-zhu.pdf

È possibile eliminare le chiavi di registro secondo Microsoft per ripristinare le impostazioni per tutte le cartelle:

• HKEY_CURRENT_USER Software Microsoft Windows shell Borse
• HKEY_CURRENT_USER Software Microsoft Windows shell BagMRU
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam Borse
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
• HKEY_CURRENT_USER Software Classes Impostazioni locali Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Impostazioni locali Software Microsoft Windows Shell Bags

Inoltre sui sistemi a 64 bit:

• HKEY_CURRENT_USER Software Classes Wow6432Node Impostazioni locali Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Impostazioni locali Software Microsoft Windows Shell BagMRU

Successivamente, ricrea le seguenti chiavi:

• HKEY_CURRENT_USER Software Classes Impostazioni locali Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Impostazioni locali Software Microsoft Windows Shell Bags

Inoltre sui sistemi a 64 bit:

• HKEY_CURRENT_USER Software Classes Wow6432Node Impostazioni locali Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Impostazioni locali Software Microsoft Windows Shell BagMRU

Parser software

Il software è stato creato per analizzare le informazioni e visualizzarle in modo facile da analizzare. Ci sono parecchi programmi disponibili a tale scopo. Alcuni sono stati creati per recuperare prove forensi mentre altri per pulire i dati per la privacy.

Analizzatore e pulitore Shellbag è un programma gratuito dei creatori di PrivaZer che può visualizzare e rimuovere le informazioni relative a Shellbag.

È necessario fare clic sul pulsante di analisi per eseguire la scansione del sistema per le informazioni relative a Shellbag. L'applicazione visualizza tutte le voci, quelle esistenti e per le cartelle che sono state eliminate, per impostazione predefinita.

È possibile utilizzare il menu in alto per visualizzare solo cartelle eliminate, cartelle di rete, risultati di ricerca, cartelle esistenti o pannello di controllo e cartelle di sistema.

Ogni voce viene visualizzata con il nome e il percorso, l'ultima volta che è stata visitata, il tipo, la chiave di slot nel Registro di sistema, l'ora e la data di creazione, modifica e accesso, nonché posizione e dimensione delle finestre.

Un clic sulle opzioni di visualizzazione pulita per rimuovere tipi specifici di informazioni, ma non singole voci, dal sistema. Se fai clic sulle opzioni avanzate, ottieni funzionalità aggiuntive come un'opzione per sovrascrivere le informazioni, eseguire il backup o mescolare le date.

Alla fine viene visualizzato un messaggio di successo che informa sullo stato dell'operazione.

Ecco alcune alternative che puoi usare invece:

• Shellbags è un parser multipiattaforma scritto in Python.
• Windows Shellbag Parser è un'applicazione per console Windows