[FTK] 윈도우 휴지통 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

가을이 완연합니다. 오늘도 윈도우 휴지통에 대한 설명을 이어 갑니다. 모두 화이팅하세요!!!

 

Windows 7 Recycle Bin

INFO2 파일을 사용하지 않고, 대신 paired files를 이용합니다.

Paired files (쌍을 이룬다)

 

$R (Recycled의 첫 글자?)

Recycled File 입니다.

실제로 삭제된 파일 (Actual deleted file)입니다.

$R 다음에 임의의 파일명($I와 같음)이 옵니다.

삭제된 파일의 확장자명을 갖습니다.

 

$I (INFO2의 첫 글자?)

과거의 INFO2 파일의 역할을 합니다.

Administrative File 입니다.

$I 다음에 임의의 파일명이 옵니다.

삭제된 파일의 확장자명을 갖습니다.

크기는 544 bytes 입니다.

삭제된 파일의 원래의 경로명, 원래의 파일명을 유니코드로 확인 가능합니다.

삭제된 일시를 확인 가능합니다.

 

 

Windows XP 에서는 휴지통(Recycler)이 부팅 드라이브(Bootable drive)에만 존재했었습니다.

Windows 7 부터는 휴지통($Recycle.Bin)이 모든 드라이브에 존재합니다.

Windows 7 에서는 휴지통 아래에 해당 시스템에 로그온 한 모든 사용들에게 자동으로 SID를 각각 부여하여 그 아래에 삭제된 폴더와 파일을 위치시킵니다.

즉, 쓰레기장에 이름표를 달아 개인별 휴지통을 모아 두는 것과 비슷합니다.

 

컴퓨터에 장착된 고정식 하드디스크의 경우

휴지통 아래에 SID가 존재하지만 많지 않습니다.

해당 휴지통은 시스템에 고정되어 있으므로 보통 시스템의 주인이 해당 휴지통의 주인이 됩니다.

 

이동식 하드디스크 드라이브인 경우

여러 시스템에 연결하여 사용할 수 있으므로, 시스템의 사용자 수만큼 SID를 이동식 하드디스크에 남겨 놓게 됩니다.

즉, 10개의 시스템에 연결하여 그 때마다 삭제 행위를 하였다면, 이동식 하드디스크 드라이브에는 기본적으로 10개의 SID가 남아 있을 겁니다.

 

 

$I 데이터 분석

offset 0~3

- $I의 header입니다.

- 0x01000000

offset 8~11

- 삭제된 파일의 크기 (단위, byte)입니다.

offset 16~23

- 휴지통으로 옮겨진 일시(Recycled Time)입니다.

- 삭제된 일시로 추정 가능합니다.

offset 24~

- 삭제된 파일의 원래 이름과 경로입니다.

 

 

Considerations – Bypassing The Recycle Bin

사용자는 휴지통을 우회할 수 있습니다.

Shift + delete 키 (우회 삭제 또는 안전 삭제)

휴지통 속성에서 ‘파일을 휴지통에 버리지 않고 삭제할 때 바로 제거’를 체크합니다.

 

 

휴지통을 우회하여 삭제하더라도 $MFT의 File Record에 할당 정보가 남아 있으므로 그것을 이용하여 복원 가능합니다.

 

Registry Information

휴지통의 속성은 사용자 별로 설정 가능합니다.

관련 레지스트리의 위치

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\BitBucket

- 0 값 : 휴지통 사용중

- 1 값 : 휴지통 사용 안함

 

 

 Wiping the Recycle Bin

휴지통 비우기(Removal form the Recycle Bin)를 하면 $MFT의 관련 레코드를 비할당 상태로 되지만, 그럼에도 불구하고 $MFT나 해당 드라이브에 데이터가 남아 있을 수 있습니다.

다만, Windows Vista, Windows 7 이후의 경우, 휴지통 비우기를 한 후 순차적으로 Wiping 되는 현상도 있음을 참고해야 합니다.

 

휴지통에서 파일을 비우거나(Removal), 우회 삭제(Shift + delete)를 하는 경우

$MFT에서 관련 데이터가 Wiping 됩니다.

Data Runs도 Wiping됩니다.

 

휴지통에서 폴더를 비우거나(Removal), 우회 삭제(Shift + delete)를 하는 경우

$MFT에서 관련 데이터가 Wiping 됩니다.

Data Runs는 Wiping 되지 않습니다. 즉 덮어쓰여 지지 않고 디스크에 그대로 존재합니다.

 

휴지통 비우기를 한 후 즉시 복원을 시도하면

복원 가능성이 있습니다

 

휴지통 비우기를 한 후, 컴퓨터를 재부팅을 한 이후에 복원을 시도하면

복원이 거의 불가능합니다.

즉, 휴지통 비우기를 한 후의 데이터 복원 가능성은 상당히 떨어지는 편 입니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)