如何在Windows中删除旧的Shellbag条目以保护隐私

• 类别: 安全

尝试消除问题的工具

选择操作系统 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 选择一个投影程序（可选） - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

描述您的问题

得到答案

通过电子邮件发送我 在网站上展示

Microsoft Windows操作系统在Windows注册表中记录有关窗口查看首选项的信息（称为ShellBag信息）。

当用户使用Windows资源管理器时，它会跟踪一些信息，例如大小，查看模式，图标，访问时间和日期以及文件夹的位置。

使Shellbag信息有趣的原因是Windows不会在删除文件夹时删除它们，这意味着该信息可用于证明系统上文件夹的存在。

取证例如使用该信息来跟踪用户访问了哪些文件夹。它可用于查找系统上次访问，修改或创建文件夹的时间。

该信息还可以用于显示过去连接到计算机的可移动存储设备的内容，以及以前安装在系统上的加密卷的信息。

总览

当用户至少访问一次操作系统上的文件夹时，将创建Shellbag。这意味着可以使用它们来证明用户至少曾经访问过一个特定的文件夹。

Windows将信息保存到以下注册表项：

• HKEY_USERS ID Software Microsoft Windows Shell Bags
• HKEY_USERS ID Software Microsoft Windows Shell BagMRU
• HKEY_USERS ID Software Microsoft Windows ShellNoRoam

如果分析BagMRU结构，您会注意到主键下存储了许多整数。 Windows在此处存储有关最近打开的文件夹的信息。每个项目都与系统上的一个子文件夹相关，该子文件夹由存储在那些子文件夹中的二进制日期标识。

另一方面，“袋”键存储有关每个文件夹的信息，包括其显示设置。

关于该结构的其他信息由一篇名为“使用Shellbag信息重建用户活动”的论文提供，您可以通过单击以下链接下载该文件：p69-zhu.pdf

您可以删除注册表项 根据微软的说法 重置所有文件夹的设置：

• HKEY_CURRENT_USER Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam Bags
• HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

另外在64位系统上：

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell BagMRU

之后，重新创建以下密钥：

• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell BagMRU
• HKEY_CURRENT_USER Software Classes Local Settings Software Microsoft Windows Shell Bags

另外在64位系统上：

• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell Bags
• HKEY_CURRENT_USER Software Classes Wow6432Node Local Settings Software Microsoft Windows Shell BagMRU

软件解析器

已经创建了用于解析信息并以易于分析的方式显示信息的软件。有很多程序可用于该目的。已经创建了一些用于检索法证的证据，而另一些则用于清理数据以保护隐私。

Shellbag分析仪和清洁剂 是PrivaZer的制造商提供的免费程序，可以显示和删除Shellbag相关信息。

您需要单击分析按钮以扫描系统以获取与Shellbag相关的信息。默认情况下，该应用程序显示所有条目，现有条目以及已删除的文件夹。

您可以使用顶部的菜单来仅显示已删除的文件夹，网络文件夹，搜索结果，现有文件夹或控制面板和系统文件夹。

将显示每个条目及其名称和路径，上次访问时间，其类型，注册表中的槽键，创建，修改和访问的时间和日期以及窗口的位置和大小。

单击“清除”将显示选项，以从系统中删除特定类型的信息，而不是单个条目。如果单击高级选项，则会获得其他功能，例如覆盖信息，备份或加扰日期的选项。

最后将显示一条成功消息，通知您有关操作状态的信息。

您可以使用以下替代方法：

• 贝壳袋 是用Python编写的跨平台解析器。
• Windows Shellbag解析器 是Windows控制台应用程序