Un’ombra incombeva su di loro. Oltre le pareti trasparenti del capillare, era visibile una foresta di dendriti. Ogni loro ramificazione mandava un ritmico scintillio: ma ora le faville si propagavano più lentamente, sempre più lentamente. E al di là di un certo punto cessavano del tutto.
ShellBag – Viaggio nel cuore di Windows
Colpito da una serie di quesiti la cui risposta erano altri quesiti, mi sono lanciato in una ricerca che mi ha spinto a cavalcare le correnti dei bit fino al centro del cervello di Windows, in quell’area particolare che è una sorta di memoria storica sconosciuta dei suoi trascorsi, o forse dovrei dire dei nostri.
In questo viaggio nel profondo un ringraziamento va all’assistente neurologo cibernetico Google.
I perché di una ricerca
Talvolta non ci sono spiegazioni al perché si cerchi qualcosa, semplicemente il bisogno di risposte ci porta a compiere azioni senza un motivo specifico, anche se nello specifico il motivo era comprendere dove il sistema operativo conserva le informazioni relative alle viste delle cartelle e al modo in cui i file contenuti sono ordinati e presentati con le diverse icone e anteprime.
Come spesso accade nelle ricerche finalizzate il ritrovamento conduce in tutta un’altra direzione.
La scoperta … o meglio dire riscoperta?
Vagando tra i registri e i motori di ricerca ecco che con il mio assistente neurologo cibernetico incappiamo in una serie di oggetti denominati shellbag, qualcosa che esiste da sempre, ma che sono quasi sconosciuti a molti, compresi i sistemisti.
I sistemi operativi Microsoft Windows sono strutturati per immagazzinare all’interno dei registri una serie di informazioni legate alla navigazione delle cartelle attraverso Windows Explorer, questi contenitori sono denominati shellbag e ospitano senza risoluzione di continuità tutte le informazioni relative alle cartelle.
Cosa sono le shellbag?
Il nome è poco significativo, ma queste sezioni delle chiavi dei registri contengono una interessante raccolta di informazioni relative alle
Il contenuto delle ShellBag
cartelle navigate usando Windows Explorer, in particolare:
- La lista di quelle aperte dall’utente sul computer, su dispositivi esterni di memorizzazione e nelle condivisioni di rete.
- La loro posizione nel filesystem, anche se non locale.
- L’icona associata.
- La modalità di ordinamento dei contenuti.
- La modalità di visualizzazione delle anteprime.
- La data di creazione, di modifica, di accesso e di cancellazione.
Le informazioni immagazzinate non vengono cancellate nel tempo e mantengono traccia anche dei percorsi visitati e cancellati a partire dall’installazione del sistema operativo.
Molte delle informazioni immagazzinate sono in formato esadecimale, quindi non palesemente leggibili, esistono tuttavia gli strumenti per tradurre i contenuti in informazioni utilizzabili.
La loro presenza si dimostra utile in attività di forensic e per determinare, ad esempio, i contenuti di un dispositivo esterno collegato al computer e di conseguenza quanto vi è stato copiato e in quale momento.
Effetti collaterali nei sistemi
La presenza di questi registri non ha un’influenza specifica sul funzionamento dei sistemi, almeno in apparenza, tuttavia ci sono due elementi da considerare:
- Le shellbag sono create quando un utente accede ad una cartella e di conseguenza aumentano di numero tanto più rapidamente quanto più vengono usati i contenuti del filesystem. A distanza di tempo possono rappresentare un appesantimento per il sistema operativo.
- Per quanto la loro estrazione richieda un accesso al computer e non sia semplicissima, il loro contenuto può comportare una breccia nella sicurezza personale e nella privacy in caso di violazione da parte di un malware. Proviamo a pensare con quale facilità un cryptovirus può individuare le condivisioni di rete e i dati di maggiore e recente utilizzo.
Dove si trovano?
Le shellbag sono distribuite in diverse parti della catena dei registri di sistema, dove l’apertura di questi elementi è altamente critica, infatti una modifica o cancellazione accidentale di un contenuto può compromettere il funzionamento del sistema e maggiormente la cancellazione di questi contenuti senza una specifica sequenza di operazioni.
Possono essere rimosse?
Le ShellBag possono essere rimosse facendo riferimento alle istruzioni di Microsoft sulla manipolazione dei registri e a proprio rischio e pericolo.
L’operazione di alterazione dei registri avviene usando i comandi regedt32 o regedit, per maggiori informazioni si rimanda alla guida di Microsoft.
Le sezioni interessate sono:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
In caso di cancellazione è necessario ricreare a mano le hive:
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
Nei sistemi operativi a 64 bit troviamo anche:
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\LocalSettings\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU
Anche queste ultime devono essere ricreate a mano in caso di cancellazione.
Nel caso si decida di localizzarle e cancellarle bisogna prestare attenzione a quanto si compie ed in particolare il computer deve essere riavviato prima di compiere qualsiasi azioni attraverso Windows Explorer.
Strumenti per la ricerca
Le operazioni di pulizia selettiva possono essere svolte con un’applicazione gratuita che non richiede installazione, si tratta del prodotto ShellBag AnalyZer.
Per analizzare ed interpretare i contenuti è possibile fare riferimento ad una delle guide specifiche sulla lettura delle ShellBag. Riportiamo il collegamento al documento Windows ShellBag Forensics in Depth.
Per maggiori informazioni sull’uso e la realizzazione degli script di automazione leggi questo articolo e contattaci senza impegno.
I componenti distribuiti sono forniti senza alcuna garanzia. Non vi sono garanzie che il software soddisfi le vostre esigenze o sia esente da errori. In nessun caso gli sviluppatori saranno responsabili per eventuali danni.
I componenti proposti sono stati collaudati nel modo più esaustivo possibile e sono utilizzati in modo regolare in ambienti di produzione, durante il loro utilizzo non si sono verificate anomalie di funzionamento.
Articoli recenti
- ShellBag – un viaggio allucinante nei ricordi di Windows
- La donazione di sangue nei cani: importanza, modalità e compatibilità
- Il Manto del Cane: Un Viaggio alla Scoperta della Sua Pelle e del Suo Pelo
- Proteggi il tuo cane dal caldo: prevenzione e riconoscimento della disidratazione
- Monitoraggio e Verifica delle Configurazioni di Rete: Una Soluzione Efficace con PowerShell e Datto RMM
Archivi
Prossimi eventi
Iscriviti alla nostra Newsletter
Un progetto parallelo ambientato nella Tuscia Sutrina: piante da giardino locali, tecniche di coltivazione, storia e leggende del territorio, racconti fantasy a tema. Botanica, cultura e tradizioni in un unico spazio.
A volte basta una breve pausa per ritrovare la concentrazione: qualche minuto tra verde e fantasia può aiutare a tornare al lavoro con nuove idee.
Visita il sito