Sacs à coquillages

But et fonction

Les sacs à coquilles sont un ensemble de clés de registre qui servent d’artefact médico-légal pour suivre l’historique de navigation dans les dossiers d’un utilisateur. Leur fonction principale pour le système d’exploitation Windows est de se souvenir des préférences de visualisation de l’utilisateur pour des dossiers spécifiques (par exemple, la taille des icônes, le mode de vue comme « Détails » ou « Liste », la largeur des colonnes et la position des fenêtres). Lorsqu’un utilisateur rouvre un dossier, Windows utilise les informations Shellbag pour restaurer la fenêtre à son état précédent, créant ainsi une expérience utilisateur cohérente.

Du point de vue du DFIR, cette fonctionnalité crée un enregistrement méticuleux et persistant de chaque répertoire auquel un utilisateur a accédé via l’Explorateur Windows. Les shellbags peuvent prouver qu’un utilisateur a navigué vers un dossier spécifique, même si ce dossier et son contenu ont depuis été supprimés.

Emplacement et structure

Les informations sur les sacs de coquillage sont stockées dans le registre Windows, principalement dans deux fichiers ruche spécifiques à l’utilisateur :

• NTUSER.DAT: Contient des sacs de coquillage pour l’accès au bureau, au réseau et aux dossiers locaux.

  • Chemin: HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU

  • Chemin: HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags

• UsrClass.dat: Contient Shellbags pour les dossiers accessibles via les archives zip, le Panneau de configuration et d’autres espaces de noms shell.

  • Chemin: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

  • Chemin: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

La structure est hiérarchique et complexe :

• Les clés agissent comme un index, stockant la structure des répertoires dans un ordre « Plus récemment utilisé ». Chaque valeur numérotée correspond à un sous-dossier.BagMRU

• Les clés stockent les données réelles de préférence de visualisation (taille de fenêtre, ordre de tri, etc.) pour les dossiers listés dans la structure. La valeur NodeSlot dans une clé la relie à une entrée spécifique de la clé.BagsBagMRU BagMRU Bags

Métadonnées stockées

Alors que les données principales stockées concernent les préférences de dossiers, la valeur médico-légale provient des informations structurelles et des horodatages associés :

• Parcours complet de l’annuaire : Le chemin complet vers le dossier auquel on a accédé peut être reconstruit en parcourant la structure arborescente.BagMRU

• Type de dossier : Informations sur le type de dossier (par exemple, disque local, partage réseau, périphérique amovible, fichier zip).

• Heure de la première interaction : Certaines entrées Shellbag, en particulier sur les versions plus récentes de Windows, peuvent fournir un horodatage indiquant quand l’utilisateur a interagi pour la première fois avec le dossier.

• Heure de la dernière interaction : Le temps « LastWrite » de la clé de registre parent correspond souvent à la dernière fois qu’un dossier de cette structure a été consulté, fournissant un ancrage temporel.

Valeur médico-légale

Les sacs à coquillage sont un artefact puissant pour prouver la connaissance et l’interaction de l’utilisateur avec des lieux spécifiques d’un système.

• Prouver la « connaissance d’un chemin » : C’est leur valeur la plus cruciale en sciences judiciaires. Les shellbags peuvent prouver qu’un utilisateur a navigué vers un dossier, même si ce dossier est maintenant supprimé ou se trouvait sur un disque amovible qui a depuis été déconnecté. C’est crucial pour réfuter les affirmations d’ignorance (par exemple, « Je ne savais pas que le dossier 'Mes triches' existait »).

• Reconstitution de l’activité utilisateur : En analysant la structure Shellbag, un analyste peut reconstruire les schémas de navigation dans les dossiers d’un utilisateur, montrant comment il a évolué dans le système de fichiers.

• Identification de l’accès aux supports amovibles : Les shellbags créent des entrées pour les dossiers sur les clés USB et autres supports amovibles, fournissant un historique d’accès même après le débranchement de l’appareil.

• Persistance: Les entrées dans les sacs de coquillage sont remarquablement persistantes. Ils ne sont généralement pas éliminés par les utilitaires de nettoyage standards et peuvent survivre longtemps, fournissant un historique approfondi de la navigation des utilisateurs.

Analyser manuellement les sacs à coquillage est extrêmement difficile. Des outils spécialisés comme ceux d’Eric Zimmerman ou les suites de médecine légale sont essentiels pour décoder automatiquement les données binaires et reconstruire les chemins de dossiers ainsi que les métadonnées associées.ShellBagsExplorer

Points de réflexion (Concours SS)

Pour un ScreenSharer, les Shellbags sont l’outil ultime pour prouver l’intention et la connaissance, transformant une simple découverte de fichier en un récit d’action délibérée.

• Contrer la dénégation plausible : L’utilisation la plus puissante des sacs d’obus est de contrer la défense du type « je ne sais pas comment ça s’est retrouvé là ». Si vous trouvez une triche dans , et que le joueur nie jamais y aller, analyser ses sacs à coquillage peut produire une entrée pour ce chemin exact. Cela prouve qu’ils ont activement navigué jusqu’à cet endroit caché, démontrant une intention claire.C:\Users\Player\AppData\Local\HiddenFolder\

• Triches de suivi sur les clés USB : Si vous soupçonnez qu’un joueur a utilisé des cheats depuis une clé USB qui n’est plus connectée, ses sacs à coquillage peuvent encore contenir des entrées pour des dossiers sur ce disque (par exemple, ). Cela prouve qu’ils ont accédé au dossier de triche depuis l’appareil amovible.E:\Vape\

• Construire un dossier plus solide : Trouver un dossier suspect est une bonne preuve. Prouver que le joueur a également créé manuellement et navigué jusqu’au dossier qui le contient (par exemple, un dossier nommé « Minecraft Ghost Clients ») rend l’argument indéniable. Les sacs à coquillage fournissent ce lien contextuel crucial.

• Découvrir des lieux cachés : Un joueur peut utiliser des attributs cachés pour dissimuler un dossier. Bien que vous puissiez le trouver en modifiant les paramètres de vue, leurs sacs à coquillage prouveront qu’ils y ont accédé même lorsqu’ils étaient cachés, montrant qu’ils savaient exactement où chercher.