简介

Windows Shell Bags 被引入到 Microsoft 的 Windows 7 操作系统中，并且出现在所有后来的 Windows 平台上。Shellbags 是注册表项，用于改善用户体验并在需要时调用用户的偏好。Shell Bags的制作依赖于用户进行的练习。

在 shellbags 的帮助下：

1. 可以证明特定用户是否访问了特定文件夹。

2. 可以检查特定文件夹是否已创建或是否可用。

3. 可以查明是否已在外部设备上访问了外部目录。

在大多数情况下，Shell Bags 旨在保存有关用户在探索 Windows 时的活动的数据。这意味着如果用户将图标大小从大图标更改为网格，Shell Bag 中的设置会立即更新。当您打开、关闭或更改系统上任何文件夹的审阅选择时，无论是从 Windows 资源管理器还是从桌面，甚至通过右键单击或重命名管理器，都会创建或刷新 Shellbag 记录。

位置

windows XP

Windows XP 的外壳包存储在 NTUSER.DAT 中

• 网络文件夹参考：\Software\Microsoft\Windows\Shell
• 本地文件夹引用：\Software\Microsoft\Windows\ShellNoRoam
• 可移动设备文件夹：\Software\Microsoft\Windows\StreamMRU

Windows 7 到 Windows 10

Shellbags 是 Windows 10 系统的 UsrClass.dat 注册表配置单元中的一组子项。Shellbags 存储在 NTUSER.DAT 和 USRCLASS.DAT 中。

• NTUSER.DAT: HKCU\Software\Microsoft\Windows\Shell
• USRCLASS.DAT: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell

大多数数据位于 USRCLASS.DAT 类似配置单元的本地、可移动和网络文件夹的数据中。

Shellbag 数据包含两个主要的注册表项 BagMRU 和 Bags

• BagMRU：这存储了类似于树结构的文件夹名称和文件夹路径。根目录由第一个 bagMRU 键（即 0）表示。BagMRU 包含与子键的嵌套子键进行比较的编号值。除了每个分支中的最后一个子项之外，所有这些子项都包含编号值。
• Bag：这些存储视图首选项，例如窗口大小、位置和视图模式。

分析shellbags

我们将使用 shellbag explorer 分析 shellbags。

1. ShellBags 浏览器(SBECmd)
2. Shellbags explorer (GUI version)

Shellbags explorer 是 Eric Zimmerman 的一款分析贝壳包的工具。shellbags explorer 在 cmd 和 GUI 两个版本中都可用。

下载地址：https://ericzimmerman.github.io/#!index.md