[EnCase] 윈도우 휴지통 (Recycle.bin) 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 휴지통 분석에 대해 이야기 해볼께요. 윈도우 휴지통은 삭제된 파일에 대한 복구 뿐만 아니라, 사용자의 SID를 비롯하여 사용자의 컴퓨터 사용 행위를 분석할 수 있는 다양한 정보를 포함하고 있습니다. 자, 시작해볼까요?

 

$Recycle.bin

휴지통은 폴더가 아니라, 하나의 ‘유틸리티’로 이해하기 바랍니다.

휴지통은 삭제된 파일을 복원하는 기능을 가지고 있으나, 파일을 관리하는 파일시스템과는 관련이 없습니다.

휴지통은 운영체제가 갖고 있는 일종의 ‘사용자 편의 유틸리티’입니다.

 

$I, $R

삭제된 하나의 개체에 대하여 2개의 파일($I, $R)이 휴지통에 생성됩니다.

EnCase는 $I의 엔트리의 내용을 읽어서, 그 내용을 Names, File Delected, Original Path 컬럼에 보여줍니다.

 

$I 파일

파일이 원래 있었던 경로, $Recycle.bin으로 이동한 일시(삭제 일시, 64비트), 파일의 논리적 크기에 대한 정보가 Unicode로 저장됩니다.

 

$R 파일

6개의 문자로 이루어진 짧은 해시 파일명이 기록되어 있습니다.

 

 

$Recycle.Bin 과 사용자 프로필

사용자가 자신의 계정을 처음으로 인증을 하게 되면, 볼륨의 $Recycle.bin에 폴더가 생성됩니다.

이때 생성되는 폴더는 SID(보안식별자)와 RID(상대식별자)로 구성되어 있습니다.

이 폴더는 System and Hidden 속성을 갖고 있으며, desktop.ini 파일을 기본적으로 포함하고 있습니다.

 

desktop.ini 파일

폴더 속성에 대한 Class ID 값을 저장하고 있습니다.

이것은 Software 레지스트리의 \Classes\CLSID\{Class ID}에도 저장됩니다.

 

SID를 사용자 계정명(프로필 명)과 연결하기

각각의 휴지통 엔트리는 SID 번호로 인식이 됩니다.

SID는 24바이트 값으로 Security 레지스트리에도 저장되어 있습니다.

 

휴지통의 주인을 찾는 방법

EnCase에서 Permission 탭에서 확인

 

SAM 레지스트리에서 확인

SAM\Domains\Account\Users\Names를 확인합니다.

휴지통에서 발견한 완전한 SID와 프로필을 일치시켜 봅니다.

 

V값

사용자 프로필 이름, 사용자 계정의 완전한 SID 값을 포함합니다.

 

F값

날짜시간 정보를 포함합니다.

 

어떤 경우에는 사용자의 SID가 로컬 머신의 SAM, Security 레지스트리에 저장되어 있지 않을 수도 있습니다. 이런 경우, EnCase의 Permission 탭에 SID에 해당하는 사용자 계정명을 보여주지 않을 것입니다.

일반적을 도메인 계정의 경우에는 로컬 머신이 아니라 도메인 컨트롤러 상의 엑티브 디렉토리에 저장되기 때문에, 로컬 머신에는 보이지 않을 수도 있습니다.

 

Security 레지스트리에서 확인

 

Software 레지스트리에서 확인

Microsoft\Windows NT\CurrentVersion\ProfileList 로 이동합니다.

ProfileImagePath 값을 확인합니다.

사용자 계정의 프로필 경로가 유니코드로 저장되어 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루가 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)