Le système d'exploitation Microsoft Windows enregistre des informations sur les préférences d'affichage de la fenêtre, appelées informations ShellBag, dans le registre Windows.
Il assure le suivi de plusieurs informations telles que la taille, le mode d'affichage, l'icône, l'heure et la date d'accès et la position d'un dossier lorsqu'un utilisateur utilise l'Explorateur Windows.
Ce qui rend les informations Shellbag intéressantes, c’est le fait que Windows ne les supprime pas lorsque le dossier est supprimé, ce qui signifie que ces informations peuvent être utilisées pour prouver l’existence de dossiers sur le système.
Les experts judiciaires utilisent par exemple les informations pour savoir à quels dossiers un utilisateur a accédé. Il peut être utilisé pour rechercher la dernière fois qu'un dossier a été visité, modifié ou créé sur un système.
Les informations peuvent également être utilisées pour afficher le contenu de périphériques de stockage amovibles précédemment connectés à l'ordinateur, ainsi que des informations sur les volumes cryptés montés sur le système auparavant.
Vue d'ensemble
Les shellbags sont créés lorsqu'un utilisateur visite au moins une fois un dossier du système d'exploitation. Cela signifie qu'ils peuvent être utilisés pour prouver qu'un utilisateur a déjà accédé à un dossier particulier au moins une fois.
Windows enregistre les informations dans les clés de registre suivantes:
- HKEY_USERS \ ID \ Logiciel \ Microsoft \ Windows \ Shell \ Sacs
- HKEY_USERS \ ID \ Logiciel \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_USERS \ ID \ Logiciel \ Microsoft \ Windows \ ShellNoRoam
Si vous analysez la structure BagMRU, vous remarquerez de nombreux entiers stockés sous la clé principale. Windows stocke ici des informations sur les dossiers récemment ouverts. Chaque élément est lié à un sous-dossier du système identifié par la date binaire stockée dans ces sous-dossiers.
La touche Sacs en revanche stocke des informations sur chaque dossier, y compris ses paramètres d'affichage.
Des informations supplémentaires sur la structure sont fournies par un document intitulé "Utilisation des informations Shellbag pour reconstruire les activités des utilisateurs", que vous pouvez télécharger en cliquant sur le lien suivant: p69-zhu.pdf
Vous pouvez supprimer les clés de registre selon Microsoft pour réinitialiser les paramètres de tous les dossiers:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Logiciel \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ ShellNoRoam \ Bags
- HKEY_CURRENT_USER \ Logiciel \ Microsoft \ Windows \ ShellNoRoam \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ Bags
Sur les systèmes 64 bits, en plus:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Ensuite, recréez les clés suivantes:
- HKEY_CURRENT_USER \ Software \ Classes \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ BagMRU
- HKEY_CURRENT_USER \ Software \ Classes \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ Bags
Sur les systèmes 64 bits, en plus:
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ Bags
- HKEY_CURRENT_USER \ Software \ Classes \ Wow6432Node \ Paramètres locaux \ Software \ Microsoft \ Windows \ Shell \ BagMRU
Analyseurs de logiciels
Un logiciel a été créé pour analyser les informations et les afficher de manière simple. Il existe assez peu de programmes disponibles à cette fin. Certains ont été créés pour récupérer des preuves médico-légales, d'autres pour nettoyer les données pour des raisons de confidentialité.
Shellbag Analyzer & Cleaner est un programme gratuit conçu par les fabricants de PrivaZer qui permet d'afficher et de supprimer les informations relatives à Shellbag.
Vous devez cliquer sur le bouton d’analyse pour rechercher dans le système des informations relatives à Shellbag. L'application affiche toutes les entrées, celles existantes et les dossiers supprimés, par défaut.
Vous pouvez utiliser le menu en haut pour afficher uniquement les dossiers supprimés, les dossiers réseau, les résultats de la recherche, les dossiers existants ou les dossiers du panneau de commande et du système.
Chaque entrée est affichée avec son nom et son chemin d'accès, la dernière fois qu'elle a été visitée, son type, la clé d'emplacement dans le registre, la création, la modification et l'heure et la date d'accès, ainsi que la position et la taille de la fenêtre.
Un clic sur Nettoyer affiche les options permettant de supprimer du système des types d’informations spécifiques, mais pas des entrées individuelles. Si vous cliquez sur les options avancées, vous obtenez des fonctionnalités supplémentaires telles qu'une option pour écraser les informations, sauvegarder ou brouiller les dates.
Un message de réussite s'affiche à la fin pour vous informer de l'état de l'opération.
Voici quelques alternatives que vous pouvez utiliser à la place:
- Shellbags est un analyseur multiplate-forme écrit en Python.
- Windows Shellbag Parser est une application console Windows
