原文出处:How to remove old Shellbag entries in Windows for privacy – gHacks Tech News
(此处使用Google翻译,文章有改动)
作者Martin Brinkmann于2014年6月9日写在Security版块
上次更新时间:2014年6月9日
微软Windows操作系统在Windows注册表中记录有关窗口查看首选项的信息(称为ShellBag信息)。
当用户使用Windows资源管理器时,它会跟踪文件夹的大小,视图模式,图标,访问时间和日期以及位置等信息。
让Shellbag的信息有趣的事是,当文件夹被删除,Windows并不删除它们,这意味着信息可以用来证明系统上的文件夹的存在。
取证使用这些信息来记录用户访问过的文件夹。它可以用来查找文件夹上次访问,修改或在系统上创建的时间。
该信息还可以用于显示过去连接到计算机的可移动存储设备的内容,以及之前安装在系统上的加密卷的信息。
概况
当用户至少访问一次操作系统上的文件夹时,会创建Shellbags。这意味着它们可以用来证明用户至少访问过一次特定的文件夹。
Windows将信息保存到以下注册表项:
HKEY_USERS\ID\Software\Microsoft\Windows\Shell\Bags
HKEY_USERS\ID\Software\Microsoft\Windows\Shell\BagMRU
HKEY_USERS\ID\Software\Microsoft\Windows\ShellNoRoam
如果你分析的BagMRU结构,你会注意到存储在主键下的许多整数。Windows在这里存储有关最近打开的文件夹的信息。每个项目与系统上的子文件夹相关,由存储在这些子文件夹中的二进制日期标识。
另一方面,Bags包含关于每个文件夹的信息,包括其显示设置。
有关结构的更多信息由一篇名为“使用 Shellbag 信息重建用户活动”的文章提供,您可以点击下面的链接下载该文件:p69-zhu.pdf
您可以根据微软提供的解决方案删除注册表项来重置所有文件夹的设置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
另外在64位系统上:
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
之后,重新创建以下键:
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
另外在64位系统上:
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU