لعلك تساءلت قبل ولوجك هذا المقال، ما هي قيم الShellbag ؟ وما دورها في تهديد خصوصيتك ؟ وما الدور الذي تلعبه في التحليل أو التحقيق الجنائي الإلكتروني لإيجاد معلومات و أدلة قاطعة لا قدر الله إن تم حجز جهازك من طرف جهة معينة....! في تدوينة اليوم سأجيبك عن مختلف الأسئلة التي تشوب ذهنك، بما في ذلك طريقة التخلص منها.
في مقالات سابقة تم طرح مجموعة من الطرق التي يتم من خلالها معرفة نشاطاتك على الويندوز، و أهم هذه الطرق تتم عن طريق استغلال ما يسمى بقيم Shellbag في الروجيستري، و التي تم إحداثها من طرف ميكروسوفت حيث يتم تسجيل معلومات حساسة بشأن نشاطاتك مثل المجلدات التي قمت بولوجها وتاريخ ولوجها، أماكن المجلدات، معلومات عن تصفحك للأنترنت -في حالة استخدام انترنت إكسبلورر- ...ألخ.
لكن الأمر الذي يجعل من ال Shellbag يهدد خصوصيتك على الويندوز، هو أنه لا يقوم بحذفها لمجرد حذفك المجلدات التي قمت بزيارتها، الشيء الذي يعني أن هذه المعلومات يمكن استخدامها لإثبات وجود تلك المجلدات على نظامك، فعلى سبيل المثال، التحليل الجنائي يستخدم هذه المعلومات لتتبع المجلدات التي تم الوصول إليها من طرف المستخدم أو تعديلها أو إنشاؤها على النظام.
بالإضافة إلى أن الأمر الأكثر خطورة أنه يمكن استغلال هذه القيم لعرض محتويات أجهزة التخزين التي كانت موصولة إلى جهازك، أي كل ما تقوم بوصله إلى الحاسوب يمكن عرضه، فيكفي أن تصل الجهاز مرة واحدة. ربما الأمر غريب ولم تسمع به من قبل لكن هذه هي الحقيقة !
يتم إنشاء Shellbags عندما يزور مستخدم مجلد على نظام التشغيل مرة واحدة على الأقل، هذا يعني أنها يمكن أن تستخدم لإثبات أن المستخدم قد تصفح مجلد معين ولو مرة واحدة من قبل، حيث يحفظ الويندوز هذه القيم في مسارات الروجيستري التالية :
و كما تلاحظون في الصورة أعلاه، فهناك قيم تخص جملة من النشاطات بسطح المكتب خاصة بالبرامج، المجلدات، الأيقونات....ألخ. و كل هذه المعلومات تعتبر خطر كبير على خصوصيتك، حيث يمكن استخراج كافة هذه المعلومات ببرامج أخرى كما ستلاحظ...للتخلص من القيم فقط قم بالضغط بالزر الأيمن على المجلدات -في الصورة أعلاه- المضللة بالون الأصفر و إزالتها، لكني أنصح باستخدام طريقة جد سريعة أدناه .Shellbag Analyzer & Cleaner برنام مجاني لا يثبت في الويندوز، تم إنشائه من أجل هذا الغرض، حيث تستطيع إطلاعك على المعلومات المخزنة مع إمكانية حذفها.
نقوم بولوج البرنام ثم الضغط Analyser ، بعد ذلك ستظهر لك جميع النشاطات المسجلة كما هو موضح في الصورة :
بعد ذلك نضغط Nettoyer ثم نملأ الإعدادات كما في الصورة :
قم فقط بالانتظار قليلا حتى تتم العملية، وللإشارة، فكلما اخترت ال PASSES أكثر كلما كان أفضل.
لا تبخلوا علينا متتبعي مدونة المحترف بآرائكم القيمة حول موضوع الخصوصية في الويندوز و طرق أخرى للرفع من مستواها ليستفيد الجميع .
لكن الأمر الذي يجعل من ال Shellbag يهدد خصوصيتك على الويندوز، هو أنه لا يقوم بحذفها لمجرد حذفك المجلدات التي قمت بزيارتها، الشيء الذي يعني أن هذه المعلومات يمكن استخدامها لإثبات وجود تلك المجلدات على نظامك، فعلى سبيل المثال، التحليل الجنائي يستخدم هذه المعلومات لتتبع المجلدات التي تم الوصول إليها من طرف المستخدم أو تعديلها أو إنشاؤها على النظام.
بالإضافة إلى أن الأمر الأكثر خطورة أنه يمكن استغلال هذه القيم لعرض محتويات أجهزة التخزين التي كانت موصولة إلى جهازك، أي كل ما تقوم بوصله إلى الحاسوب يمكن عرضه، فيكفي أن تصل الجهاز مرة واحدة. ربما الأمر غريب ولم تسمع به من قبل لكن هذه هي الحقيقة !
يتم إنشاء Shellbags عندما يزور مستخدم مجلد على نظام التشغيل مرة واحدة على الأقل، هذا يعني أنها يمكن أن تستخدم لإثبات أن المستخدم قد تصفح مجلد معين ولو مرة واحدة من قبل، حيث يحفظ الويندوز هذه القيم في مسارات الروجيستري التالية :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
- HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
و كما تلاحظون في الصورة أعلاه، فهناك قيم تخص جملة من النشاطات بسطح المكتب خاصة بالبرامج، المجلدات، الأيقونات....ألخ. و كل هذه المعلومات تعتبر خطر كبير على خصوصيتك، حيث يمكن استخراج كافة هذه المعلومات ببرامج أخرى كما ستلاحظ...للتخلص من القيم فقط قم بالضغط بالزر الأيمن على المجلدات -في الصورة أعلاه- المضللة بالون الأصفر و إزالتها، لكني أنصح باستخدام طريقة جد سريعة أدناه .Shellbag Analyzer & Cleaner برنام مجاني لا يثبت في الويندوز، تم إنشائه من أجل هذا الغرض، حيث تستطيع إطلاعك على المعلومات المخزنة مع إمكانية حذفها.
نقوم بولوج البرنام ثم الضغط Analyser ، بعد ذلك ستظهر لك جميع النشاطات المسجلة كما هو موضح في الصورة :
بعد ذلك نضغط Nettoyer ثم نملأ الإعدادات كما في الصورة :قم فقط بالانتظار قليلا حتى تتم العملية، وللإشارة، فكلما اخترت ال PASSES أكثر كلما كان أفضل.
لا تبخلوا علينا متتبعي مدونة المحترف بآرائكم القيمة حول موضوع الخصوصية في الويندوز و طرق أخرى للرفع من مستواها ليستفيد الجميع .
