Consulenze tecnologiche e informatiche

 

Un’ombra incombeva su di loro. Oltre le pareti trasparenti del capillare, era visibile una foresta di dendriti. Ogni loro ramificazione mandava un ritmico scintillio: ma ora le faville si propagavano più lentamente, sempre più lentamente. E al di là di un certo punto cessavano del tutto.

Isaac Asimov – Viaggio allucinante

 

 

Shellbag - Nei segreti di Windows

Shellbag – Nei segreti di Windows

Colpito da una serie di quesiti la cui risposta erano altri quesiti, mi sono lanciato in una ricerca che mi ha spinto a cavalcare le correnti dei bit fino al centro del cervello di Windows, in quell’area particolare che è una sorta di memoria storica sconosciuta dei suoi trascorsi, o forse dovrei dire dei nostri.

In questo viaggio nel profondo un ringraziamento va all’assistente neurologo cibernetico Google.

 

I perché di una ricerca

 

Talvolta non ci sono spiegazioni al perché si cerchi qualcosa, semplicemente il bisogno di risposte ci porta a compiere azioni senza un motivo specifico, anche se nello specifico il motivo era comprendere dove il sistema operativo conserva le informazioni relative alle viste delle cartelle e al modo in cui i file contenuti sono ordinati e presentati con le diverse icone e anteprime.

 

Come spesso accade nelle ricerche finalizzate il ritrovamento conduce in tutta un’altra direzione.

 

La scoperta … o meglio dire riscoperta?

 

Vagando tra i registri e i motori di ricerca ecco che con il mio assistente neurologo cibernetico incappiamo in una serie di oggetti denominati shellbag, qualcosa che esiste da sempre, ma che sono quasi sconosciuti a molti, compresi i sistemisti.

I sistemi operativi Microsoft Windows sono strutturati per immagazzinare all’interno dei registri una serie di informazioni legate alla navigazione delle cartelle attraverso Windows Explorer, questi contenitori sono denominati shellbag e ospitano senza risoluzione di continuità tutte le informazioni relative alle cartelle.

 

Cosa sono le shellbag?

 

Il nome è poco significativo, ma queste sezioni delle chiavi dei registri contengono una interessante raccolta di informazioni relative alle cartelle navigate usando Windows Explorer, in particolare:

  • La lista di quelle aperte dall’utente sul computer, su dispositivi esterni di memorizzazione e nelle condivisioni di rete
  • La loro posizione nel filesystem, anche se non locale
  • L’icona associata
  • La modalità di ordinamento dei contenuti
  • La modalità di visualizzazione delle anteprime
  • La data di creazione, di modifica, di accesso e di cancellazione

Ma anche altro.

 

Il contenuto delle shellbag

Il contenuto delle shellbag

 

Le informazioni immagazzinate non vengono mai cancellate e mantengono traccia anche dei percorsi visitati e cancellati nel corso del tempo.

 

Molte delle informazioni immagazzinate sono in formato esadecimale, quindi non palesemente leggibile, esistono tuttavia gli strumenti per tradurre i contenuti in informazioni utilizzabili.

 

La loro presenza si dimostra utile in attività di forensic e per determinare, ad esempio, i contenuti di un dispositivo esterno collegato al computer e di conseguenza quanto vi è stato copiato e in quale momento.

 

Effetti collaterali sui sistemi

 

In apparenza la presenza di questi registri non ha apparentemente un impatto sul sistema, fatta eccezione per due elementi:

  • Le shellbag sono create quando un utente accede ad una cartella e di conseguenza aumentano di numero tanto più rapidamente quanto più vengono usati i contenuti del filesystem. A distanza di tempo possono rappresentare un appesantimento per il sistema operativo.
  • Per quanto la loro estrazione richieda un accesso al computer e non sia semplicissima, il loro contenuto può comportare una breccia nella sicurezza personale e nella privacy in caso di violazione da parte di un malware. Proviamo a pensare con quale facilità un cryptovirus può individuare le condivisioni di rete.

Dove si trovano?

 

Le shellbag sono distribuite in diverse parti della catena dei registri di sistema, che sono apribili con il comando regedt32, l’apertura di questi elementi è altamente critica, infatti una modifica o cancellazione accidentale di un contenuto può compromettere il funzionamento del sistema.

 

Possono essere rimosse?

 

I contenuti possono essere rimossi facendo riferimento alle istruzioni di Microsoft sulla manipolazione dei registri e a proprio rischio e pericolo.
L’operazione di alterazione dei registri avviene usando i comandi regedt32 o regedit, per maggiori informazioni si rimanda alla guida di Microsoft.

 

Le sezioni interessate sono:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
  • HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
  • HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

 

In caso di cancellazione è necessario ricreare a mano le hive:

  • HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
  • HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

 

Nei sistemi operativi a 64 bit troviamo anche:

Anche queste ultime devono essere ricreate a mano in caso di cancellazione.

  • HKEY_CURRENT_USER\Software\Classes\Wow6432Node\LocalSettings\Software\Microsoft\Windows\Shell\Bags
  • HKEY_CURRENT_USER\Software\Classes\Wow6432Node\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU

 

Nel caso si decida di localizzarle e cancellarle bisogna prestare attenzione a quanto si compie ed in particolare il computer deve essere riavviato prima di compiere qualsiasi azioni attraverso Windows Explorer.

 

Strumenti per la ricerca

 

Le operazioni di pulizia selettiva possono essere svolte con un’applicazione gratuita che non richiede installazione, si tratta del prodotto ShellBag AnalyZer, scaricabile da questo sito.

 

Per analizzare ed interpretare i contenuti è possibile fare riferimento alla guida specifica sulla lettura delle ShellBag.

 

Buona esplorazione!

 

 

Categorie
Archivi
Count per Day
  • 221Questo articolo:
  • 212641Totale letture:
  • 187Letture odierne:
  • 212Letture di ieri:
  • 21 Novembre 2016Dal: