Shellbags
개요
사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 Shellbags 레지스트리에 기록합니다.
포렌식적 의미
- - 사용자가 특정 폴더에 접근한 시간 정보 확인
- - 존재하는 폴더의 삭제/덮어쓰기에 대한 증거 추적
- - Explorer를 통한 폴더 접근에 대한 MAC 타임 추적
레지스트리 주요경로
레지스트리의 ShellBag 주요 경로(Windows 10)
| 번호 | 레지스트리 경로 |
|---|---|
| 1 | HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags |
| 2 | HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU |
| 3 | HKCU\Software\Microsoft\Windows\Shell\Bags |
| 4 | HKCU\Software\Microsoft\Windows\Shell\BagMRU |
 |
쉘백 정보는 Bags과 BagMRU 두 가지 주요 레지스트리 키로 구성 BagMRU 키는 유사한 트리 구조를 생성하여 폴더 이름과 레코드 폴더 경로를 저장 Bags 키는 창 크기, 위치 및 보기 모드와 같은 보기 기본 설정을 저장 |
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagsMRU
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
- 사용자 레지스트리 파일인 [ NTUSER.DAT과 UsrClass.dat ]의 Shellbag 하위 키
- NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장
- UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장
| Windows XP |
|---|
| Windows XP (32 bit & 64 bit) %UserProfile%\NTUSER.dat |
|
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\BagMRU NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\Bags |
| Windows Vista |
|---|
|
Windows Vista (32 bit & 64 bit) %UserProfile%\NTUSER.DAT %UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat |
|
Windows Vista (32 bit) NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags Windows Vista (64 bit) NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags UsrClass.dat\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU UsrClass.dat\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags |
| [Windows 7,8 & 8.1] |
|---|
|
Windows 7, 8 & 8.1 (32 bit & 64 bit) %UserProfile%\NTUSER.dat %UserProfile%\AppData\Local\Microsoft\Windows\ UsrClass.dat |
|
Windows 7, 8 & 8.1 (32 bit & 64 bit) NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags |
좌측 운영체제 카테고리에서 shellbag 아티팩트 클릭
[증거]테이블을 통해 공유폴더 접근 흔적과 마지막 탐색 시간 확인 가능하고
우측 [세부 정보]테이블을 통해서도 확인 가능
[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Shellbags경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동
C:/Users/사용자/NTUSER.DAT
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
C:/User/사용자/AppData/Local/Microsoft/Windows/UserClass.dat
UserClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
UserClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags
EnCase에서 ShellBag을 분석하기 위해 먼저 NTUSER.dat 파일 경로 확인
C:\Users\사용자\NTUSER.DAT
NTUSER.DAT 파일에는 HKEY_CURRENT_USER에 있는 모든 레지스트리 설정이 들어 있다.
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU 경로 확인
경로를 찾은 후 BagMRU를 보면 하위에 MRUListEx, NodeSlot, NodeSlots 키를 확인할 수 있습니다.
NodeSlots은 루트 BagMRU 하위 키에서만 발견되며 새 셀백이 만들어 질 때마다 업데이트 됩니다.
셀백은 Windows 탐색기를 통해 액세스 할 수 있는 계층 구조와 비슷한 형식으로 BagMRU 키로 구성되어 있으며
각 번호가 매겨진 폴더는 이전 폴더의 부모 또는 자식 폴더를 나타냅니다.
MRUListEx 키는 최근에 열람한 순서 정보, 최초로 생성될 때의 시간 설정 ( 최초 생성 = 최초 폴더 열람 )
NodeSlot 값은 Bags 아래의 하위 키를 가리 킵니다.
이 키에는 정렬 순서, 아이콘 설정, 크기 등과 같은 정보가 들어있는 다른 키와 값이 들어 있습니다.
EnCase의 Process Evidence 기능을 이용한 ShellBags 자동 수집
[Process]탭-[Modules]-[Windows Artifact Parser]- ShellBags옵션 선택
ShellBags 자동 수집 결과 확인
[View]탭-[Artifacts]-[Evidence Processor Module Results]-[Windows Artifact Parser]
NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장
UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장
Shellbags 정보 확인
%UserProfile%\NTUSER.DAT
[Open in Registry Viewer]
FTK 는 케이스 생성 전, 인덱싱이 선행됩니다.
각 파일들이 유형별로 분류되며 [Windows NT Registry] 카테고리에서
[NTUSER.DAT] 레지스트리를 바로 찾을 수 있습니다.
[Open in Registry Viewer]
FTK의 레지스트리 전용 분석도구 [Registry Viewer]
[Common Areas] 주요 분석 Key 경로를 축약하여 나타냅니다.
특정 Key 사용자 등록/제거 기능제공.
[Common Areas] NTUSER.DAT\Software\Microsoft\Windows\Shell
공유 폴더 접근 흔적
C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기
Find Text를 이용한 레지스트리 검색
공통 단어인 [shell] 검색
[Continue Search]를 이용하여 계속 검색 가능
윈도우 탐색기에서 폴더를 열 때마다 폴더의 설정을 레지스트리에 자동 저장
오픈소스인 ShellBagsView v1.30 프로그램은 Windows에서 저장한 모든 폴더 설정 목록을 표시
- 열린 날짜/시간, 항목 번호, 표시 모드 (세부 정보, 아이콘 등..), 창의 마지막 위치 및 마지막 창의 크기 설정 정보 확인 가능
