data leakage case #51, Recycle Bin
Forensic/CFReDS-Data Leakage Case2019. 1. 30. 05:12
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#51. Examine ‘Recycle Bin’ data in PC.
$RecycleBin 의 S-1-5-21-{사용자별 id} 폴더 내 파일을 분석한다.
- $I~ : 삭제된 파일의 META 정보(삭제된 시간 등)
- $R~: 실제로 삭제된 파일
1. 이전글 #6 "all account lists"에서 informant 계정의 사용자 id 는 1000 번임을 확인하였다.
2. "$I~" 파일을 클릭하였을 때 Winhex 화면 하단에서 삭제된 파일의 FullPath 를 알 수 있다. 또한, $I 파일의 생성시각이 해당파일이 삭제된 시간이다.
Winhex의 시간값은 host pc의 timezone이 적용된 값이다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
|---|---|
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
| data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
