가. ShellBag란
- 윈도우 OS에서 사용자가 폴더를 열람할 때 폴더의 보기 설정과 위치 정보를 저장하는 레지스트리 키 세트이다.
- 사용자가 폴더를 다시 열 때 동일한 보기 설정을 제공하기 위한 목적으로 사용된다.
- 로컬 드라이브, 네트워크 공유, 이동식 저장 장치 등에서 접근한 폴더 정보를 기록한다.
- 폴더가 삭제되거나 더 이상 존재하지 않더라도 해당 정보는 유지된다.
나. ShellBag의 구조와 기능
1. 폴더 접근 기록
- 사용자가 폴더를 최초로 열었을 때 생성(기록)된다.
- 폴더가 삭제되거나 실제 존재하지 않게 되어도 ShellBag 정보는 유지된다.
- 폴더의 생성/복사 및 압축 파일 내부 폴더 열람 시에도 ShellBag 정보가 생성될 수 있다.
- Windows 탐색기(Explorer)를 통한 폴더의 접근, 파일 열기/저장 대화상자(Common Dialog)를 통해 폴더에 접근한 경우에도 ShellBag 정보가 생성될 수 있다.
2. ShellBags 저장 위치
- ShellBags 정보는 *User Registry Hive File인 NTUSER.DAT와 UsrClass.dat에 저장된다.
*Registry Hive File : Windows 운영체제에서 시스템 및 사용자 설정 정보를 저장하는 레지스트리 데이터베이스의 물리적 파일.
| Registry Hive File | 저장 정보 |
| NTUSER.DAT | 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장 |
| UsrClass.dat | 데스크톱, ZIP 파일 내부 폴더, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장 |
3. 주요 레지스트리 키
- ShellBag 정보는 주로 두 가지 레지스트리 키인 BagMRU와 Bags에 저장된다.
| 레지스트리 키 | 저장 정보 |
| Bags | 창 크기, 위치 및 보기 모드와 같은 폴더의 보기 기본 설정을 저장 |
| BagMRU | 폴더 경로를 트리 구조로 저장하며, 폴더 이름과 레코드 폴더 경로를 저장 |
4. 운영체제 별 경로
| 운영체제 버전 | Hive 파일 | Hive 파일 및 레지스트리 경로 |
| Windows XP | NTUSER.DAT | C:\Documents and Settings\<사용자 이름>\NTUSER.DAT HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU |
| Windows Vista 이상 | NTUSER.DAT | C:\Users\<사용자이름>\NTUSER.DAT HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU |
| UsrClass.dat | C:\Users\<사용자이름>\AppData\Local\Microsoft\Windows\UsrClass.dat HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\ShellNoRoam\Bags HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\ShellNoRoam\BagMRU |
다. ShellBag 포렌식 분석
- ShellBag 정보는 디지털 포렌식 관점에서 아래와 같은 정보를 확인할 수 있다.
| 분석 항목 | 설명 및 활용 방안 |
| 폴더 접근 이력 조회 | 네트워크 드라이브나 외부 저장장치 내의 폴더 접근 이력 조회 가능 |
| 폴더 접근 시간 확인 | 사용자가 특정 폴더에 접근한 시간 정보를 확인할 수 있음 |
| 폴더 삭제/덮어쓰기 확인 | 삭제 또는 덮어쓰기로 인해 존재했던 폴더가 삭제되었는지 확인할 수 있음 |
| 삭제된 폴더 과거 접근 흔적 | 삭제된 폴더에 대한 과거 접근 흔적 파악 가능 |
| 숨김(Hidden) 속성 폴더 확인 | 숨김(Hidden) 속성의 존재 여부 및 접근 여부 확인 가능 |
| 바탕화면(Desktop) 파일 접근 흔적 | 바탕화면(Desktop)은 하위 파일 개별 접근 흔적까지 기록될 수 있음 |
| 압축파일 내부 폴더 탐색 흔적 | 압축파일(ZIP 등)은 사용자가 압축을 해제하지 않더라도 Windows 탐색기를 통해 내부 폴더 구조를 탐색한 흔적까지 기록되어 분석 가능 |
| MAC 타임 추적 | MAC 타임(수정/접근/생성 시간) 추적 가능 |
*압축 파일을 해제할 때 대상이 되는 특정 폴더가 있어야 하므로 압축 해제 행위도 대상 폴더에 대한 접근 흔적으로 해석될 수 있음.
라. ShellBag의 한계
1. 기록되는 접근 방식의 제한성
- ShellBag는 오직 Windows 탐색기(Explorer)를 통해 접근한 폴더만 기록된다. 따라서 명령줄 인터페이스(CLI), 상용 프로그램, 자동화된 프로세스 등을 통해 접근한 폴더 정보는 기록되지 않는다.
2. 데이터 변동성 및 삭제 가능성
- 사용자가 시스템 정리 도구나 프라이버시 보호 도구등을 사용하여 ShellBag 데이터를 쉽게 수정하거나 삭제할 수 있다.
3. 저장 용량 제한으로 인한 데이터 손실 가능성
ShellBag 키는 무한정 정보를 저장하지 않으며, 저장 가능한 최대 용량을 초과하면 오래된 정보가 덮어써지거나 손실될 수 있다.
마. ShellBag 무료 분석 도구
1. ShellBagsView
- NirSoft에서 만든 ShellBag에 저장된 기록을 리스트 형식으로 보여주는 무료 도구이다.
- 출력된 결과를 txt, html, csv, xml 파일로 저장할 수 있다.
- 폴더의 경로, 마지막 수정시간 등이 표시된다.
- 다른 점검 도구에 비해 분석되는 ShellBag 정보가 상당히 적으므로 추천하지는 않는다.
- ShellBagsView 다운로드 URL (아래의 링크 클릭)
https://www.nirsoft.net/utils/shell_bags_view.html
View and optionally change the folders Settings of Windows Explorer
View the folder Settings of Windows Explorer - display mode (Details, Icons, Tiles, Content, List), icon size, slot number, and more. Optionally set the display mode of multiple folders at once.
www.nirsoft.net
- ShellBagsView 실행화면
2. Shellbag Analyzer & Cleaner
- privazer에서 만든 Shellbag 무료 분석 및 정리 도구이다.
- 출력된 결과를 csv 파일로 저장할 수 있다.
- 폴더접근시간, 폴더명, 폴더경로, 삭제여부, 드라이브 종류, MAC타임 등이 표시된다.
- 삭제되거나, 외부 저장장치, 네트워크 폴더 정보 및 많은 정보가 출력되므로 추천하는 도구이다.
- Clean 기능을 통해 ShellBag 기록을 지울수도 있다.
- Shellbag Analyzer & Cleaner 다운로드 URL (아래의 링크 클릭)
https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php
Download - Shellbags AnalyZer + Cleaner
privazer.com
- Shellbag Analyzer & Cleaner 실행화면
3. ShellBagsExplorer
- Eric Zimmerman's tools에서 만든 Shellbag 데이터를 TreeView 형태로 출력해주는 무료 도구이다.
- 출력된 결과를 csv, excel, json 파일로 저장할 수 있다.
- 폴더명, MAC 타임, 최초 접근시간, 마지막 접근시간, 디바이스 유형(스마트폰) 등이 표시된다.
- TreeView 형태라 분석하기 편하며 많은 양의 정보가 출력되므로 분석 시 가장 추천하는 도구이다.
- ShellBagsExplorer 다운로드 URL (아래의 링크 클릭)
https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
- ShellBagsExplorer 실행 화면
4. FTK Imager / REGA
- Access Data에서 개발한 무료 포렌식 도구인 FTK Imager와 고려대 DFRC에서 만든 무료 레지스트리 수집 및 분석 도구를 활용하여 Shellbag 데이터를 분석할 수 있다.
- FTK Imager 다운로드 URL (아래의 링크 클릭)
https://go.exterro.com/l/43312/2023-05-03/fc4b78
FTK Imager 4.7
FTK® Imager is a data preview and imaging tool used to acquire digital evidence in a forensically sound manner by creating copies of data without changing the original in any way. The latest version supports the AFF4 format and execution on portable drive
go.exterro.com
- REGA 다운로드 URL (아래의 링크 클릭)
https://dfrc.korea.ac.kr/infra_dfrc_tools/?bmode=view&idx=14616120
REGA : Digital Forensic Research Center (DFRC), Korea University.
윈도우 레지스트리 수집 및 분석 도구Hash CheckFilename: REGA_v1.6.0.0.zipFile Size: 8.12MBUpdate Time: 2024-04-30 10:45MD5 Hash: 458BF6FBDBA2CA1D6369D27C9A8B4E0BSHA1 Hash: A0246A6936C9350EF3CC01BBFF65CAD590F2A2E6SHA256 Hash: 315CB8EB77D381EFF
dfrc.korea.ac.kr
4-1. FTK Imager를 이용한 ShellBag 관련정보 추출
- FTK Imager로 드라이브 파일에서 아래의 파일을 따로 추출한다.
| 파일 명 | 관련 파일 경로 |
| NTUSER | [root]\Users\{USERNAME}\NTUSER.DAT |
| [root]\Users\{USERNAME}\ntuser.dat.LOG1 | |
| [root]\Users\{USERNAME}\ntuser.dat.LOG2 | |
| DEFAULT | [root]\Windows\System32\config\DEFAULT |
| [root]\Windows\System32\config\DEFAULT.LOG1 | |
| [root]\Windows\System32\config\DEFAULT.LOG2 | |
| SAM | [root]\Windows\System32\config\SAM |
| [root]\Windows\System32\config\SAM.LOG1 | |
| [root]\Windows\System32\config\SAM.LOG2 | |
| SECURITY | [root]\Windows\System32\config\SECURITY |
| [root]\Windows\System32\config\SECURITY.LOG1 | |
| [root]\Windows\System32\config\SECURITY.LOG2 | |
| SOFTWARE | [root]\Windows\System32\config\SOFTWARE |
| [root]\Windows\System32\config\SOFTWARE.LOG1 | |
| [root]\Windows\System32\config\SOFTWARE.LOG2 | |
| SYSTEM | [root]\Windows\System32\config\SYSTEM |
| [root]\Windows\System32\config\SYSTEM.LOG1 | |
| [root]\Windows\System32\config\SYSTEM.LOG2 |
- FTK Imager를 이용한 ShellBag 관련 파일 추출 화면 예시
4-2. REGA를 이용한 ShellBag 분석
- 레지스트리 분석도구인 REGA를 통해 FTK Imager로 추출한 ShellBag관련 파일을 분석한다.
- 파일 → 레지스트리 분석
- '레지스트리 파일 입력'에 FTK Imager로 추출한 ShallBag 관련 파일이 저장된 폴더를 선택한다.
- '사건 정보'에 문구를 입력한뒤 '분석시작' 버튼 클릭
- 아래와 같이 분석된 shellBag 정보를 열람할 수 있다.
아. 참고자료
1. TZWorks ShellBag Parser 사용자 가이드
https://tzworks.com/prototypes/sbag/sbag.users.guide.pdf
2. Windows ShellBag Forensics in Depth
https://www.giac.org/paper/gcfa/9576/windows-shellbag-forensics-in-depth/128522
'디지털 포렌식' 카테고리의 다른 글
| 최신 FTK Imager 설치 및 사용방법 정리 (0) | 2025.01.05 |
|---|