Anna-Lena Totzauer

• Die vorliegende Arbeit befasst sich mit der Analyse von ShellBags in Windows-Betriebssystemen. Die Untersuchungen beziehen sich auf Windows XP, 7 und 10, welche als virtuelle Maschinen in VMware Workstation Pro integriert wurden. Da die ShellBag-Registrierungsschlüssel neben Ansichtseinstellungen im Datei-Explorer auch Einträge zu Aktivitäten in und mit verschiedenen Ordnern, in Netzlaufwerken sowie mit externen Speichermedien enthalten, liefern sie für forensische Analysen wertvolle Hinweise. Darüber hinaus können auch die darin befindlichen Zeitstempel zur Auswertung herangezogen werden. Hierfür wurden verschiedene Testreihen durchgeführt. Der Vergleich von ShellBag-Zuständen vor und nach einer Aktivität basiert auf dem Tool Compare It!, welches die Gegenüberstellung zweier .reg-Dateien erlaubt. Die Ergebnisse bestätigen, dass auch heute noch eine Weiterentwicklung der ShellBags erfolgt, da stets Änderungen vorgenommen und neue Informationen hinzugefügt werden. Dennoch hat sich zum großen Teil eine einheitliche Ablage der Informationen herausgebildet.
• This bachelor thesis presents the analysis of ShellBags in Windows operating systems. The investigations refer to Windows XP, 7 and 10 which were integrated as virtual machines in VMware Workstation Pro. Among the storage of view settings in Windows-Explorer, ShellBag registry keys contain entries of activities in and with folders, in network drives and with external storage media. That is why they can provide valuable information for forensic analyses. In addition, the timestamps can be used for evaluation. Therefor different series of tests were executed. The comparison of two ShellBag states before and after an activity is based on the tool Compare It! which is able to collate two .reg files. The results confirm that ShellBags still were refined and new information was added. Nevertheless, results showed a nearly consistent storage of data.