[EnCase] 윈도우 휴지통 (Recycle.bin) 분석 (2)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 윈도우 휴지통 2번째 시간입니다. 일요일이지만 함께 힘내 볼까요? 화이팅!!!

 

[Windows Artifacts Parser] --> [Recycle Bin Files]

 

 

파일 삭제로 인해 MFT 엔트리에 미치는 영향

$MFT는 1024 바이트의 레코드로 이루어진 일종의 데이터베이스입니다.

 

$MFT Header

삭제 여부를 알려주는 플래그입니다.

- 0x0000 --> 삭제된 파일

- 0x0100 --> 할당된 파일

- 0x0200 --> 삭제된 폴더

- 0x0300 --> 할당된 폴더

 

표준정보 속성 ($STANDARD_INFORMATION_ATTRIBUTE)

포함된 주요 정보는

- 생성일시/수정일시/접근일시/엔트리수정일시를 포함합니다.

- Windows 64bit timestamp 값입니다.

 

파일이름 속성 ($FILE_NAME_ATTRIBUTE)

포함된 주요 정보는

- 2개의 파일 이름 속성이 포함될 수도 있습니다.

- DOS 짧은 이름(8.3 이름규칙)과 긴 파일이름으로 구성됩니다.

 

$MFT 레코드에서 발생하는 변화

파일이 휴지통으로 이동하게 되면, $I 파일에 대한 새로운 $MFT 엔트리가 생성됩니다.

‘표준정보속성’ 안의 Entry Modified Time이 갱신되고, Last Accessed Time도 휴지통에 저장하는 방법에 따라 갱신될 수도 있습니다.

‘파일이름속성’ 안의 부모 레코드가 바뀌고, 파일은 사용자의 특정 폴더 내의 휴지통으로 위치합니다.

‘파일이름속성’ 안의 짧은 이름이 바뀌고 $R로 시작하는 이름과 원본의 확장자를 갖게 됩니다.

‘긴파일이름속성’이 존재할 경우에는 이를 삭제합니다.

파일이 폴더에서 휴지통으로 이동되었을 뿐, 아직 삭제된 것이 아니므로, $MFT 헤더 안의 플래그는 그대로 할당된 것으로 유지됩니다.

 

 

휴지통 설정 관련 레지스트리

휴지통은 볼륨별, 사용자별 세팅입니다.

각각의 볼륨별로, 사용자별로 별도의 휴지통이 존재합니다.

방마다 자신의 개인 휴지통을 비치하여 놓은 형태와 비슷합니다.

삭제할 때 휴지통을 거칠 것인지, 바로 영구 삭제할 것인지 설정 가능합니다.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket

NukeOnDelete 값이 ‘0’이면 : 휴지통을 거쳐서 삭제 합니다.

- 휴지통에서 잔존 데이터 발견 가능성이 높습니다.

NukeOnDelete 값이 ‘1’이면 : 휴지통을 경유하지 않고 바로 삭제합니다.

- 휴지통에서 잔존 데이터를 발견할 가능성이 낮습니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)