Page info
- Page type : PFP Reference
- Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Recycle
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
휴지통
휴지통은 사용자가 더 이상 사용을 원하지 않아 삭제하는 파일 또는 디렉터리가 이동하는 영역이다.
실제로 사용할 때에는 특별한 어플리케이션 처럼 동작하는 것으로 보이지만, 파일 시스템 관점에서 살펴 보았을 때, 휴지통은 단순한 디렉터리에 불과하다. 다만, 이 디렉터리에 대한 접근이 휴지통 어플리케이션을 통해서만 가능하도록 되어 있고, 내부에 있는 파일 역시 휴지통 어플리케이션이 해석 가능한 것들만 보여준다는 차이점이 있을 뿐이다.
휴지통으로 파일 혹은 디렉터리를 삭제하는 행위 또한 실제 파일은 그대로 남겨둔 채 파일 시스템에 기록된 파일(혹은 디렉터리)과 관련된 메타 정보만을 변경할 뿐이다. 이 때, 원본 파일 복원을 위해 다양한 정보 저장하기 위해 생성되는 파일을 휴지통 정보 파일이라고 부르며, Vista 이전 버전에서는 단일 파일로 관리하였고 Vista 이후 부터는 삭제된 개체별로 정보파일을 하나씩 생성하여 관리를 하고 있다.
 |
| http://frederick.tistory.com/ |
휴지통은 사용자가 더 이상 사용을 원하지 않아 삭제하는 파일 또는 디렉터리가 이동하는 영역이다.
실제로 사용할 때에는 특별한 어플리케이션 처럼 동작하는 것으로 보이지만, 파일 시스템 관점에서 살펴 보았을 때, 휴지통은 단순한 디렉터리에 불과하다. 다만, 이 디렉터리에 대한 접근이 휴지통 어플리케이션을 통해서만 가능하도록 되어 있고, 내부에 있는 파일 역시 휴지통 어플리케이션이 해석 가능한 것들만 보여준다는 차이점이 있을 뿐이다.
휴지통으로 파일 혹은 디렉터리를 삭제하는 행위 또한 실제 파일은 그대로 남겨둔 채 파일 시스템에 기록된 파일(혹은 디렉터리)과 관련된 메타 정보만을 변경할 뿐이다. 이 때, 원본 파일 복원을 위해 다양한 정보 저장하기 위해 생성되는 파일을 휴지통 정보 파일이라고 부르며, Vista 이전 버전에서는 단일 파일로 관리하였고 Vista 이후 부터는 삭제된 개체별로 정보파일을 하나씩 생성하여 관리를 하고 있다.
휴지통 정보 파일
휴지통은, 내부에 삭제된 파일을 저장할 때 아래와 같은 규칙을 통해 파일의 이름을 생성한다.
- Windows XP 휴지통 정보 파일
- 삭제된 파일명 : D[drive letter][index number].[extension of original]
- 정보 파일명 : INFO2
. - Windows 7 휴지통 정보 파일
- - 삭제된 파일명 : $R[random].[extension of original]
- - 정보 파일명 : $I[same with $R].[extension of original]
휴지통은 파일명 규칙에 맞지 않는 파일이 휴지통에 있을 경우, 일반적인 휴지통 열람으로는 내용을 보여주지 않는다. 이와 같은 특성 때문에 악성코드 혹은 사건 용의자가 정보를 은닉하는데 애용되기 때문에 반드시 파일 시스템을 해석하여 내부의 정보를 살펴볼 필요가 있다는 점을 기억하자.
분석 대상(Target)
XP Recycle Bin
Target Path(Location)
|
%SystemDrive%\RECYCLER\
- Deleted file %SystemDrive%\RECYCLER\ - Information file(one per folder) - [SID Check] : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList |
Check List
|
[In INFO2 file]
- Original file path - drive letter - File deleted date and time - physical size of deleted file |
Related Tools
|
INFO2
del2info |
다음의 레지스트리 경로에서 사용자 SID의 확인 가능
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Target Path(Location)
|
%SystemDrive%\$Recycle.bin\$I
- Information file(one per deleted file) %SystemDrive%\$Recycle.bin\$R - Deleted file |
Check List
|
[$I
- physical size of deleted file - delete date and time of deleted file - original file path and name |
Related Tools
|
del2info
|
휴지통 폴더 내부에는 사용자 계정 별로 계정 SID이름으로 된 폴더가 존재하므로 조사를 원하는 사용자의 휴지통 경로를 구분하여 분석을 진행할 필요가 있다.
다음의 레지스트리 경로에서 사용자 SID의 확인 가능
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.