Круглосуточный интернет-магазин ПО
E-mail для запросов: sale@migsoft.ru
сравнение 0
cart
добавлен в корзину ( лицензий)

Windows ShellBag Parser

Производитель: TZWorks LLC
Лицензия поставляется в электронном виде с бессрочным сроком использования. Для расчета стоймости просим обратиться к нам удобным для вас образом. Задать вопрос или запросить КП/счет можно по почте sale@migsoft.ru, в чате или по телефону 8(495)008-93-78
подробнее
0 р. р. / 1 шт.
Тип поставки: Электронная лицензия
Тип покупателя: Коммерческая организация
Срок лицензии: Бессрочная лицензия
Требуется счет или коммерческое предложение?
8 495 008 93 65 sale@migsoft.ru WhatsApp
Описание Windows ShellBag Parser

Windows ShellBag Parser является анализатором реестра Windows, который нацелен на подключи Shellbag, чтобы извлечь полезный каталог и архивировать артефакты, чтобы помочь идентифицировать активность пользователя. Доступны двоичные файлы для Windows, Linux и Mac OS-X. Версия Windows позволяет разобрать крапивку крапивницы с живой системы.

В качестве фона информация ShellBag представляет собой набор подключей в ветке реестра пользователей (например, ntuser.dat и файлы usrclass.dat), используемых операционной системой Windows для отслеживания предпочтений просмотра пользовательских окон. Это достигается за счет хранения различных параметров проводника Windows Explorer, относящихся к размерам, настройкам и т.д. Это позволяет позже открыть ту же папку с настройками предыдущего раза. Каждый пользователь будет иметь отдельные настройки для папок, и поэтому эти настройки хранятся в соответствующей пользовательской ветке.

Поскольку подклавиши ShellBag хранят различные метаданные о том, как были организованы элементы проводника Windows Explorer, и поскольку они записываются для каждого пользователя, с точки зрения компьютерной криминалистики, можно анализировать данные и извлекать различные части информации, относящиеся к взаимодействию пользователя. В сочетании с другими доступными компьютерными артефактами, он может дать более полную картину того, какие файлы были доступны или удалены пользователем и с какого устройства хранения они имели доступ (внутреннего, внешнего или сетевого). Ключ(ы) 'ShellNoRoam\BagXxx' содержит данные для локальных папок, а ключ(ы) 'Shell\BagXxx' содержит данные для удаленных папок.

Субключи реестра:


  • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU\BagMRU
  • NTUSER.DAT\Software\Microsoft\Windows\Shell\Shell\Bags
  • NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\BagMRU
  • NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\Bags
  • UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Windows\Shell\BagMRU
  • UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags
  • UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\BagMRU
  • UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\Bags
  • В Vista и Windows 7 ветвь UsrClass является новой и расположена в каталоге C:\Users\\AppData\Local\Microsoft\Windows.
Лицензирование Windows ShellBag Parser
Системные требования Windows ShellBag Parser
Характеристики и комплектация товара могут изменяться производителем без уведомления
Популярные вопросы об Windows ShellBag Parser
Показать все вопросы