shellbagとはユーザーが Windows Explorer(explorer.exe)を用いてフォルダを閲覧した際、開いていたウィンドウのサイズ、位置、フォルダなどの情報をトラックする仕組みのこと。(ZIPファイルの情報も含まれる)
shellbagに関する情報はレジストリに格納されており、ユーザーがExplorerを用いて、ローカル・フォルダ、ネットワーク共有フォルダ、外部デバイス上のフォルダをブラウズするたびにレジストリの情報が更新される。
フォレンジック調査の観点では、shellbagの情報を調べることでユーザーあるいは攻撃者がWindows Explorerを用いて、どのフォルダにアクセスしていたかを確認することができる。
※shellbagに記録される情報や更新のタイミングはWindowsのバージョンによって差異がある。詳細は後述のリンクを参照。
shellbagの情報をパースするツールは多数あるが多くの場合、ユーザーのレジストリ・ハイブファイル(NTUSER.DAT、USRCLASS.DAT)を必要とする。RegRipperを用いたパース方法については以下の通り。
環境:
Linux siftworkstationならRegRipperがプリインストールされている。
コマンド:
(sudo) rip.pl -r /path/to/registry_hive_file/[USRCLASS.DAT or NTUSER.DAT] -p shellbags
参考
https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545
McGraw-Hill Education発行 Incident Response & Computer Forensics Third Edition P.338 - 340
