[Recycle Bin]
휴지통(Recycle Bin)은 파일을 삭제하고, 복원하거나 영구 삭제할 수 있다. 파일 탐색기 보기 설정에서 숨긴 항목을 표시하면 로컬 디스크 (C:)에서 $Recycle Bin 폴더를 확인할 수 있다.
휴지통 폴더는 볼륨 단위로 생성된다. 따라서 로컬 디스크로 인식되는 경우에만 생성되고, USB 등 이동식 디스크 및 네트워크 드라이브 등은 생성되지 않는다. 휴지통 아이콘은 모든 볼륨의 휴지통 폴더를 통합하여 보여준다. 그러나 하나의 폴더로 존재하는 것은 아니다.
[Practice]
실습을 위해 test.txt를 만든 다음 파일을 삭제한다.
1. 휴지통 아티팩트(파일 삭제 시)
휴지통 폴더의 경로는 <Volume>\$Recycle.Bin\<SID>\이다. 해당 경로로 이동한 다음 다시 S-1-5-21-3457876442-1355347358-168488734-1001 폴더로 이동한다.
S-1-5-21-3457876442-1355347358-168488734-1001 폴더 안의 파일을 확인해보면 "$R<임의문자열 6자리>.<원본 파일 확장자>" 형식의 삭제된 파일과 "$I<임의문자열 6자리>.<원본 파일 확장자>" 형식의 삭제 관련 메타 데이터를 확인할 수 있다. 메타 데이터는 원본 파일의 경로, 휴지통으로 삭제된 시각 등을 말한다.
2. 휴지통 아티팩트(파일 복원시)
삭제된 파일을 복원하면 $R 파일은 사라지지만, $I 파일은 남아 있다.
3. 휴지통 아티팩트(휴지통 비우기)
복원된 파일을 다시 삭제하면 기존의 $I 파일과 함께 새로운 $R 파일과 $I 파일이 생성된다.
휴지통을 비우게 되면 기존의 $I 파일만 남게되고, 새롭게 생성되었던 $R 파일과 $I 파일은 삭제된다.
남겨진 기존의 $I 파일인 메타 데이터를 분석하기 위해 Windows File Analyzer를 다운로드한다.
MiTeC Homepage
www.mitec.cz
Windows File Analyzer를 열어 $RECYCLE.BIN\을 열어준다.
남겨진 기존의 $I 파일인 메타 데이터에 대한 파일 경로, 삭제된 시점, 크기 확인 등을 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Windows Search 개념 및 실습 (0) | 2022.07.29 |
|---|---|
| VSS(Volume Shadow Copy Service) 개념 및 실습 (0) | 2022.07.29 |
| Event Logs 개념 및 실습 (0) | 2022.07.29 |
| Windows Timeline 개념 및 실습 (0) | 2022.07.29 |
| ThumbnailCache & IconCache 개념 및 실습 (0) | 2022.07.29 |
