williballenthin/shellbags

# shellbags.py ## 简介 shellbags.py 是一个跨平台的开源 shellbag 解析器。 网页 http://www.williballenthin.com/forensics/shellbags/index.html 详细描述了该算法。 请注意，shellbags.py 最初是作为 python-registry 的示例开发的，因此本仓库是一个包含截至 v0.2.4.1 版本的 python-registry 历史记录的分支。初始的 shellbags.py 标签为 v0.5。 ## 依赖项 shellbags.py 依赖于 Python2.7、argparse、six 和 python-registry。 ## 使用说明 shellbags.py 接受原始 Windows 注册表配置单元的路径。 该配置单元应通过取证方式获取。 为确保互操作性，默认情况下输出会根据 Bodyfile 规范进行格式化。 参数： usage: shellbags.py [-h] [-v] [-p] [-o {csv,bodyfile}] file [file ...] 从 Windows 注册表中解析 Shellbag 条目。 位置参数： file Windows 注册表配置单元文件 可选参数： -h, --help 显示此帮助信息并退出 -v 在解析时打印调试信息 -p 如果启用了调试信息，使用 ANSI 颜色代码增强格式 -o {csv,bodyfile} 输出格式：csv 或 bodyfile；默认为 bodyfile 示例： $ python shellbags.py ~/projects/registry-files/willi/xp/NTUSER.DAT.copy0 0|\My Documents (Shellbag)|0|0|0|0|0|978325200|978325200|18000|978325200 0|\My Documents\Downloads (Shellbag)|0|0|0|0|0|1282762334|1282762334|18000|1281987456 0|\My Documents\My Dropbox (Shellbag)|0|0|0|0|0|1281989096|1282762296|18000|1281989050 0|\My Documents\My Music (Shellbag)|0|0|0|0|0|1281995426|1282239780|18000|1281987154 0|\My Documents\My Pictures (Shellbag)|0|0|0|0|0|1281995426|1282239780|18000|1281987152 0|\My Documents\My Dropbox (Shellbag)|0|0|0|0|0|978325200|978325200|18000|978325200 0|\My Documents\My Dropbox\Tools (Shellbag)|0|0|0|0|0|1281989092|1281989092|18000|1281989088 0|\My Documents\My Dropbox\Tools\Windows (Shellbag)|0|0|0|0|0|1281989140|1281989140|18000|1281989092 0|\My Documents\My Dropbox\Tools\Windows\7zip (Shellbag)|0|0|0|0|0|1281993604|1284668784|18000|1281989140 0|\My Documents\My Dropbox\Tools\Windows\Adobe (Shellbag)|0|0|0|0|0|1281994956|1284668784|18000|1281989140 0|\My Documents\My Dropbox\Tools\Windows\Bitpim (Shellbag)|0|0|0|0|0|1281994656|1284668784|18000|1281989140 ## 征集内容 *) Bug 报告。 *) 反馈。 ## 许可证 shellbags.py 在 Apache 2.0 许可证下发布。 ## 参考资料 1. "Using shellbag information to reconstruct user activities" 作者： Yuandong Zhu, Pavel Gladyshev, 和 Joshua James，可通过 http://www.dfrws.org/2009/proceedings/p69-zhu.pdf 访问 2. "MiTeC Registry Analyzer" 作者 Allan S Hay，可通过 http://mysite.verizon.net/hartsec/files/WRA_Guidance.pdf 访问 3. "sbag" 作者 TZWorks，可通过 http://www.tzworks.net/prototype_page.php?proto_id=14 访问 4. "Shell BAG Format Analysis" 作者 Yogesh Khatri，可通过 https://42llc.net/?p=385 访问 5. "Windows Shell Item format specification" 作者 Joachim Metz，可通过 http://download.polytechnic.edu.na/pub4/download.sourceforge.net/pub/sourceforge/l/project/li/liblnk/Documentation/Windows%20Shell%20Item%20format/Windows%20Shell%20Item%20format.pdf 访问

标签：Bodyfile格式, DAST, NTUSER.DAT, Python, python-registry, Shellbags解析, Windows注册表, 二进制发布, 历史痕迹恢复, 域渗透, 库, 应急响应, 开源工具, 开源软件, 恶意软件分析, 数字取证, 数据包嗅探, 数据解析, 文件访问记录, 无后门, 注册表分析, 电子数据取证, 痕迹分析, 网络安全, 网络安全审计, 自动化脚本, 逆向工具, 隐私保护