Les shellbags sont des structures de données dans le registre Windows qui permettent d’enregistrer les préférences d’affichage des dossiers.
Localisation
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagsHKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagsMRU%USERPROFILE%\NTUSER.DAT#hive%USERPROFILE%\AppData\Local\Microsoft\Windows\USRCLASS.DAT#hive
Remarques
- Les shellbags peuvent être utiles lors des investigations pour reconstituer l’historique de navigation d’un utilisateur (date de création, de dernier accès et de dernière modification). Ils peuvent fournir des informations précieuses, telles que les dossiers précédemment consultés sur la machine locale, les dossiers réseau et les périphériques amovibles.
- Windows enregistre les préférences d’affichage des dossiers et du bureau. Par conséquent, lorsque le dossier/bureau est à nouveau visité, Windows peut se souvenir de l’emplacement du dossier, de l’affichage et de la position des éléments.
- Windows ne crée shellbag que si le dossier a été initialement consulté par l’utilisateur via l’explorateur. Il est conservé même après la suppression du dossier ou du débranchement du périphérique de stockage.