reg-shellbags

NTUSERレジストリハイブファイルから、Windowsエクスプローラーを通じて最近アクセスしたフォルダーの履歴を照会します。ShellBagsは、ユーザーがエクスプローラーでフォルダーを開いたときに記録されるレジストリデータで、フォルダーへのアクセス日時とパス情報を含みます。

コマンドプロパティ

構文

オプション

zipcharset=STR

ZIPファイルエントリの文字エンコーディング。IANA文字セットレジストリに登録されているPreferred MIME NameまたはAliasesを使用します。（デフォルト: utf-8）

zippath=STR

ZIPファイルのパス。このオプションを指定するとZIPファイル内部のレジストリハイブファイルを対象に照会します。

対象

FILE_PATH

NTUSERレジストリハイブファイルのパス。ワイルドカード（*）を使用するとパターンに一致するすべてのファイルを一度に照会できます。

出力フィールド

エラーコード

パースエラー

該当なし

ランタイムエラー

該当なし

説明

reg-shellbagsコマンドは、NTUSERレジストリハイブファイルのSoftware\Microsoft\Windows\Shell\BagMRUキーを読み込んでShellBags項目をパースします。ShellBagsはWindowsエクスプローラーでフォルダーを開いたときに自動で記録されるアーティファクトで、削除されたフォルダーやリムーバブルメディアへのアクセス履歴も含まれる場合があり、デジタルフォレンジックにおけるユーザー活動分析に活用されます。

各レコードにはMRU順序が含まれており、ユーザーが最近アクセスしたフォルダーを確認できます。orderフィールドの値が小さいほど、より最近アクセスしたフォルダーです。

NTFSファイルシステムの項目の場合、MFTエントリインデックス、NTFSシーケンス番号、ファイルサイズ、アクセス日時、更新日時などの詳細情報が追加で提供されます。

このコマンドは4.0.2511.0バージョンからクラスター管理者権限が必要で、アクセス可能なファイルパスが制限されます。詳細はファイルアクセス制限を参照してください。

使用例

各使用例のファイルパスはALLOWED_FILE_SCAN_PATHS設定に含まれていることを前提とします。

1. NTUSERハイブファイルからShellBagsを照会

   reg-shellbags D:\evidence\NTUSER.DAT
   

   指定したNTUSERレジストリハイブファイルからShellBags履歴を照会します。

2. ZIPファイル内のNTUSERハイブファイルを照会

   reg-shellbags zippath=D:\evidence\registry.zip NTUSER.DAT
   

   ZIPファイル内部のNTUSERレジストリハイブファイルからShellBags履歴を照会します。

3. 最近のアクセス順に並べ替え

   reg-shellbags D:\evidence\NTUSER.DAT
   | sort order
   

   ShellBags履歴をMRU順に並べ替えて、最近アクセスしたフォルダーから照会します。

4. ワイルドカードを使用した複数ファイルの照会

   reg-shellbags D:\evidence\*\NTUSER.DAT
   

   ワイルドカードパターンに一致するすべてのNTUSERハイブファイルからShellBags履歴を照会します。

互換性

reg-shellbagsコマンドは、Sonar 4.0以前のバージョンから提供されています。4.0.2511.0バージョンからクラスター管理者権限が必要です。