[FTK] 윈도우 휴지통 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘부터 윈도우 휴지통의 메커니즘과 아티팩츠에 대해 알아 보겠습니다. 모두 화이팅하세요!!!

 

Windows XP Recycle Bin Review

Windows 7 이전 버전에서는 휴지통은 시스템 드라이브의 Root 아래 Recycle Bin 또는 Recycler 라는 폴더 형태로 존재합니다.

INFO2 파일 안에 삭제된 위치, 파일명, 파일크기, 삭제 시각 등에 관한 정보가 저장됩니다.

실제로 삭제된 파일도 SID 폴더 아래에 저장되고, 해당 파일의 $MFT 레코드는 해당 파일의 이름이 다음의 규칙에 따라 바뀝니다.

- D : deleted

- C : 삭제된 파일이 존재했었던 드라이브 문자

- # : 삭제된 순번 (‘1’이 가장 처음에 삭제된 것임)

- .<확장자> : 원래 파일의 확장자

폴더 단위로 삭제한 경우에는 폴더명에 위 규칙이 적용되고, 그 하위의 폴더와 파일명은 바뀌지 않습니다.

 

 

INFO2 파일

파일을 복원하기 위해서는 다음의 데이터를 참조해야 합니다.

- DC1.txt (삭제된 파일)

- $MFT

- INFO2

 

INFO2 는 윈도우 버전에 따라 크기가 다양합니다.

Windows XP / NTFS의 경우 INFO2 레코드의 크기는 800 bytes 입니다.

아래의 정보가 기록됩니다.

- 파일의 원래 경로명

- 원래의 파일 이름

- 삭제 순번 (Incremental number)

- 원래의 드라이브 문자명

- 삭제된 일시

 

파일을 삭제하였을 때만 기록되어 있고, 휴지통에서 복구하였거나 비우기 하였을 때는 보이지 않습니다.

 

 

휴지통 비우기를 한 경우

INFO2 레코드에서 ASCII 경로의 드라이브 문자만 제거됩니다.

레코드에서 단지 이것만 바뀝니다.     

드라이브 문자만 제거되어도 원래의 드라이브로 복원이 불가능합니다.

해당 파일에 대한 데이터는 관련 $MFT 안에 그대로 존재합니다. (단, 덮어쓰여지기 전까지만)

INFO2 레코드는 INFO2를 직접 보거나, Data Carving을 통해 복구 가능합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)