도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 가을이 완연합니다. 오늘도 윈도우 휴지통에 대한 설명을 이어 갑니다. 모두 화이팅하세요!!! Windows 7 Recycle Bin INFO2 파일을 사용하지 않고, 대신 paired files를 이용합니다. Paired files (쌍을 이룬다) $R (Recycled의 첫 글자?) Recycled File 입니다. 실제로 삭제된 파일 (Actual deleted file)입니다. $R 다음에 임의의 파일명($I와 같음)이 옵니다. 삭제된 파일의 확장자명을 갖습니다. $I (INFO2의 첫 글자?) 과거의 INFO2 파일의 역할을 합니다. Administrative File 입니다. $I 다음에 임의의 파일명이 옵니다. 삭제된 파일의 확장자명을 갖습니다. 크기는 5..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터 윈도우 휴지통의 메커니즘과 아티팩츠에 대해 알아 보겠습니다. 모두 화이팅하세요!!! Windows XP Recycle Bin Review Windows 7 이전 버전에서는 휴지통은 시스템 드라이브의 Root 아래 Recycle Bin 또는 Recycler 라는 폴더 형태로 존재합니다. INFO2 파일 안에 삭제된 위치, 파일명, 파일크기, 삭제 시각 등에 관한 정보가 저장됩니다. 실제로 삭제된 파일도 SID 폴더 아래에 저장되고, 해당 파일의 $MFT 레코드는 해당 파일의 이름이 다음의 규칙에 따라 바뀝니다. - D : deleted - C : 삭제된 파일이 존재했었던 드라이브 문자 - # : 삭제된 순번 (‘1’이 가장 처음에 삭제된 것임) - . : 원래..