Software Tip Shellbags löschen

bavariantommy

Universaldilletant
Moin zusammen,
der eine oder andere weiß es evtl. noch nicht. WinXP und höher legen sogenannte Shellbags an. Dabei handelt es sich um eine Chronologie der in der Vergangenheit geöffneten Dateien und Verzeichnisse, auch wenn diese bereits gelöscht wurden, inkl. Timestamps. Öffnet man beispielsweise einen Ordner oder Dateien in einem Veracrypt-Container, bleibt deren Name und Pfad auch nach dem Aushängen erhalten - für Datenforensiker ein gefundenes Fressen. Diese Shellbags werden zum Beispiel vom CCleaner nicht gelöscht.
Das übernimmt das kleine Tool Shellbag Analyzer and cleaner.

Greets

Tommy

shellbags.jpg
Wer das Anlegen von Shellbags dauerhaft deaktivieren möchte, findet hier eine passende Anleitung:
 
Zuletzt bearbeitet:

DrSnuggles

Bekanntes Mitglied
@bavaraintommy:

Veracrypt zu nutzen ohne die Windowsplatte zu verschlüsseln ist nahezu völlig sinnfrei.
Das eignet sich dann nur als Transportverschlüsselung. Die Menge an Spuren, wenn man Pech hat vollständige Kopien, ist viel zu groß um die Daten zu schützen.
 

bavariantommy

Universaldilletant
Das war ein Beispiel. Ich glaube, das steht da auch ;)
Wenn du uns aber an deinem Wissen über die Menge an Spuren teilhaben lassen möchtest, haben wir sicher nichts dagegen :yo
 

DrSnuggles

Bekanntes Mitglied
Temporäre Kopien die beim Öffnen der Dateien erstellt werden, Swapfile, etc.
Das System mit dem man Crypto-Kontainer mountet muss auch verschlüsselt sein.

Die läpischen Dateinamen sind da schon egal.

 
Zuletzt bearbeitet:

bavariantommy

Universaldilletant
Geht's etwas konkreter? Temp-Files, Swap- und Hibernation-Files wandern bei sicherheitsbewussten Anwendern doch eh regelmäßig im Nirvana. Und wer die integrierte Suchfunktion auf sensiblen Rechnern aktiviert lässt, dem ist eh nicht zu helfen.
MFT/USN finde ich da schon viel interessanter. Die läppischen Dateinamen spielen in deiner bisher eher schwachen Argumentation durchaus eine Rolle, wenns drauf an kommt.
Edit: eine Liste an forensic tools ersetzt kein Argument.
 
Zuletzt bearbeitet:
Oben Unten