Windows almacena las opciones de visualización de Windows Explorer mediante entradas de registro de Windows, que se conocen como shellbags. Esto nos permite saber a qué directorios se ha accedido a nivel local, de red o de dispositivos extraíbles, ya que está la evidencia de la existencia de directorios previos.
Veamos un poco mejor cómo funcionan las shellbags y cómo podemos visualizarlas.
¿Qué son las shellbags?
Las shellbags son una característica del sistema operativo Windows que registra y almacena información sobre el historial de acceso a carpetas y archivos. Estas entradas son la forma en la que el sistema operativo almacena información sobre cómo se accedió a los archivos y carpetas, como la última fecha y hora en las que se abrieron, la ubicación en la que se abrieron y la forma en la que se visualizaron.
Esta información puede ser muy útil en el análisis forense digital, ya que puede proporcionar una idea de cómo se ha utilizado el sistema en el pasado. Sin embargo, también puede ser un riesgo de privacidad si se utiliza para rastrear la actividad del usuario sin su consentimiento o conocimiento.
Localización de las shellbags
- Explorer access:
- USRCLASS.DAT\Local Settings \Software \Microsoft \Windows \Shell \Bags
- USRCLASS.DAT\Local Settings \Software \Microsoft \Windows \Shell \BagMRU
- Desktop access:
- NTUSER.DAT \Software \Microsoft \Windows \Shell \BagMRU
- NTUSER.DAT \Software \Microsoft \Windows \Shell \Bags
Los documentos de Microsoft tienen shellbags adicionales y están presentes en los sistemas Win 7 – Win 10.
Acceso a las shellbags
Las shellbags rastrean información sobre cómo se han visto y explorado las carpetas en un sistema. Puedes acceder a ellas empleando el explorador de archivos o a través de la línea de comandos, usando el comando regedit.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPara acceder a las shellbags a través del explorador de archivos, sigue estos pasos:
- Abre el explorador de archivos de Windows.
- Haz clic derecho en cualquier área vacía del panel de navegación y selecciona “Propiedades”.
- Selecciona la pestaña “Personalizar” en la ventana de propiedades.
- Haz clic en el botón “Configuración avanzada” en la sección “Uso compartido de archivos y carpetas”.
- Selecciona la opción “Mostrar archivos y carpetas ocultos” y desmarca la casilla de “Ocultar archivos protegidos del sistema operativo”.
- Haz clic en “Aceptar” y luego en “Aplicar”.
- En el explorador de archivos, navega hasta la carpeta que deseas inspeccionar.
- Haz clic derecho en cualquier área vacía de la carpeta y selecciona “Propiedades”.
- Selecciona la pestaña “Versiones anteriores”.
- Deberías ver una lista de versiones anteriores de la carpeta, incluidas las shellbags.
De forma alternativa, puedes acceder a las shellbags usando el editor del registro de Windows. Para hacer esto, sigue estos pasos:
- Haz clic en el botón de inicio y escribe “regedit” en el cuadro de búsqueda. Presiona enter.
- En el editor del registro, navega hasta la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
- Deberías ver una lista de claves numeradas, que representan las carpetas que has visitado recientemente.
- Puedes hacer doble clic en cualquiera de las claves para ver información sobre la carpeta, como la fecha en la que se visitó por última vez y cómo se vio la carpeta en el explorador de archivos.
Analizar shellbags
Para analizar las shellbags tenemos que decirle al sistema dónde están los registros USRCLASS.DAT y NTUSER.DAT:
Vamos a escribir en el símbolo del sistema esta ruta junto a otros comandos:
Vamos a ir al Timeline Explorer y hacemos clic en el menú File/Open:
Seleccionamos los archivos de USRCLASS.DAT y NTUSER.DAT:
Por medio del Timeline Explorer podemos ver y navegar por una línea de tiempo de las actividades que hemos realizado en nuestro PC. Esto incluye las aplicaciones que hemos utilizado, los documentos que hemos abierto, las búsquedas que hemos realizado y más.
La función de Timeline de Windows 10 recopila información sobre las actividades realizadas en el sistema y las almacena en una base de datos. Timeline Explorer es la interfaz gráfica de usuario que nos permite ver y navegar por esa información de manera visual y fácil.
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué son las shellbags, dónde localizarlas y cómo acceder a ellas. Si quieres seguir formándote en las distintas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, la formación de alta calidad e intensidad en la que verás cómo puedes convertirte en todo un profesional IT con la guía constante de expertos en el sector. ¡Pide ya mismo más información y atrévete a impulsar tu carrera profesional!