Windows Artifact[4] - Recycle

이번 포스팅에서는 휴지통분석에 대해서 알아보겠습니다.

--------------------------------------------------------------------------------------------------------------------------------------

1. Recycle

파일을 삭제할 때 Shift키를 같이 누르지 않은 경우 기본적으로 파일은 휴지통으로 이동하게 됩니다. 때문에 간혹 지우고 나서 휴지통을 비우지 않아 중요한 단서들이 남아 있을 수 있으므로 포렌식 분석 과정에 있어 휴지통 분석은 꼭 필요합니다. 휴지통은 각 사용자 별로 폴더 구조를 가지게 됩니다.

■ C:\Recycle.Bin\[User SID]

[그림 1] 사용자별 휴지통 구조

파일이 삭제 되면 휴지통에는 파일이 2가지가 생성되며, [그림 1]과 같이 $R로 시작하는 파일과 $I로 시작 하는 파일을 볼 수 있습니다.

[그림 1]과 같이 삭제된 파일 2개가 보이며 $R~ 로 시작하는 파일은 실제 삭제된 원본 파일이며, $I~로 시작하는 파일은 $R에 대한 원본경로, 원본파일사이즈, 삭제시간 정보를 담고 있습니다. $I~에 대한 파일을 분석 하면 아래 표와 같은 오프셋으로 정보를 확인 할 수 있습니다.

[표 1] $I~ 파일 분석

$I~로 시작 하는 파일을 분석 하면 아래 [그림 2]와 같이 분석 할 수 있습니다.

[그림 2] $I~ 파일 분석

$I~ 파일을 분석 하기위해 해당 파일을 HxD도구를 이용하여 데이터를 확인 할 수 있습니다.

[그림 2]의 $I~ 파일을 분석한 내용은 다음과 같습니다.

■ 파일크기 : 0x1AD -> 429byte

■ 삭제된시간 : 01D1A384F5E8CBA0 -> 2016년 5월 1일 17시39분 22초(UTC+9)

삭제된 시간정보 변환은 TimeDecode도구를 이용하여 변환 할 수 있습니다.

■ 원본경로 : C:\User\YAM1\Desktop\LnkFileList.csv

지금까지 휴지통 분석에 대해 알아보았으며, 다음 포스팅에는 점프리스트에 대해 알아 보겠습니다.