2019
12
12

shellbagsとは

shellbagsとはユーザーが Windows Explorer(explorer.exe)を用いてフォルダを閲覧した際、開いていたウィンドウのサイズ、位置、フォルダなどの情報をトラックする仕組みのこと。
shellbagsに関する情報はレジストリに格納されており、ユーザーがExplorerを用いて、ローカル・フォルダ、ネットワーク共有フォルダ、外部デバイス上のフォルダをブラウズするたびにレジストリの情報が更新される。

フォレンジック調査の観点では、shellbagsの情報を調べることでユーザーあるいは攻撃者がWindows Explorerを用いて、どのフォルダにアクセスしていたかを確認することができる。

shellbagsの情報をパースするツールは多数あるが多くの場合、ユーザーのレジストリ・ハイブファイル(NTUSER.DAT、USRCLASS.DAT)を必要とする。RegRipperを用いたパース方法についてはこちらを参照。

Ref:
https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545
Comment



Only the blog author may view the comment.


Trackback
Trackback URL

«  | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード