Cómo eliminar entradas antiguas de Shellbag en Windows por privacidad

El sistema operativo Microsoft Windows registra información sobre las preferencias de visualización de la ventana, conocida como información de ShellBag, en el Registro de Windows.

Realiza un seguimiento de varios datos, como el tamaño, el modo de visualización, el icono, la fecha y hora de acceso y la posición de una carpeta cuando un usuario usa el Explorador de Windows.



Lo que hace que la información de Shellbag sea interesante es el hecho de que Windows no los elimina cuando se elimina la carpeta, lo que significa que la información se puede usar para probar la existencia de carpetas en el sistema.

Los forenses utilizan la información, por ejemplo, para realizar un seguimiento de las carpetas a las que ha accedido un usuario. Se puede utilizar para buscar cuándo se visitó, modificó o creó una carpeta por última vez en un sistema.

La información también se puede utilizar para mostrar el contenido de los dispositivos de almacenamiento extraíbles que se conectaron a la computadora en el pasado, y también la información de los volúmenes cifrados que se montaron en el sistema antes.

Visión general

shellbags

Los Shellbags se crean cuando un usuario visita una carpeta en el sistema operativo al menos una vez. Esto significa que se pueden usar para demostrar que un usuario ha accedido a una carpeta en particular al menos una vez antes.



Windows guarda la información en las siguientes claves de registro:

  • HKEY_USERS ID Software Microsoft Windows Shell Bags
  • HKEY_USERS ID Software Microsoft Windows Shell BagMRU
  • HKEY_USERS ID Software Microsoft Windows ShellNoRoam

Si analiza la estructura de BagMRU, notará muchos números enteros almacenados bajo la clave principal. Windows almacena aquí información sobre las carpetas abiertas recientemente. Cada elemento está relacionado con una subcarpeta del sistema que se identifica mediante la fecha binaria almacenada en esas subcarpetas.

La tecla Bolsas, por otro lado, almacena información sobre cada carpeta, incluida su configuración de visualización.

Se proporciona información adicional sobre la estructura en un documento llamado 'Uso de la información de Shellbag para reconstruir las actividades del usuario' que puede descargar haciendo clic en el siguiente enlace: p69-zhu.pdf

Puede eliminar las claves del registro según Microsoft para restablecer la configuración de todas las carpetas:

  • HKEY_CURRENT_USER Software Microsoft Windows Shell Bags
  • HKEY_CURRENT_USER Software Microsoft Windows Shell BagMRU
  • HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam Bags
  • HKEY_CURRENT_USER Software Microsoft Windows ShellNoRoam BagMRU
  • HKEY_CURRENT_USER Software Classes Configuración local Software Microsoft Windows Shell BagMRU
  • HKEY_CURRENT_USER Software Classes Configuración local Software Microsoft Windows Shell Bags

En sistemas de 64 bits, además:

  • HKEY_CURRENT_USER Software Classes Wow6432Node Configuración local Software Microsoft Windows Shell Bags
  • HKEY_CURRENT_USER Software Classes Wow6432Node Configuración local Software Microsoft Windows Shell BagMRU

Luego, vuelva a crear las siguientes claves:

  • HKEY_CURRENT_USER Software Classes Configuración local Software Microsoft Windows Shell BagMRU
  • HKEY_CURRENT_USER Software Classes Configuración local Software Microsoft Windows Shell Bags

En sistemas de 64 bits, además:

  • HKEY_CURRENT_USER Software Classes Wow6432Node Configuración local Software Microsoft Windows Shell Bags
  • HKEY_CURRENT_USER Software Classes Wow6432Node Configuración local Software Microsoft Windows Shell BagMRU

Analizadores de software

Se ha creado un software para analizar la información y mostrarla de una manera fácil de analizar. Hay bastantes programas disponibles para ese propósito. Algunos se han creado para recuperar pruebas forenses, mientras que otros para limpiar los datos y mantener la privacidad.

Analizador y limpiador de Shellbag es un programa gratuito de los creadores de PrivaZer que puede mostrar y eliminar información relacionada con Shellbag.

shellbag analyzer

Debe hacer clic en el botón analizar para escanear el sistema en busca de información relacionada con Shellbag. La aplicación muestra todas las entradas, las existentes y las carpetas que se han eliminado, de forma predeterminada.



Puede usar el menú en la parte superior para mostrar solo carpetas eliminadas, carpetas de red, resultados de búsqueda, carpetas existentes o carpetas del panel de control y del sistema.

Cada entrada se muestra con su nombre y ruta, la última vez que fue visitada, su tipo, ranura clave en el Registro, hora y fecha de creación, modificación y acceso, así como la posición y tamaño de las ventanas.

Un clic en limpiar muestra opciones para eliminar tipos específicos de información, pero no entradas individuales, del sistema. Si hace clic en las opciones avanzadas, obtiene funciones adicionales, como una opción para sobrescribir la información, hacer una copia de seguridad o codificar las fechas.

clean shellbags

Al final se muestra un mensaje de éxito que le informa sobre el estado de la operación.



Aquí hay algunas alternativas que puede usar en su lugar: