hacking case #28~30, Recycle Bin in WinXP (INFO2)

https://www.cfreds.nist.gov/Hacking_Case.html

http://forensic-proof.com/archives/288 "윈도우 휴지통 분석"

#28. How many executable files are in the recycle bin?

---

[윈도우 운영체제별 휴지통 경로]

Operating System	Common File System	Recycle Bin system folder
Windows 95/98/ME	FAT32	C:Recycled
Windows NT/2K/XP	NTFS	C:Recycler<USER SID>
Windows Vista	NTFS	C:$Recycle.Bin<USER SID>

winhex 에서 해당 경로를 찾아가면 다음과 같고, 실행파일은 총 4개이다.

#29. Are these files really deleted?

---

윈도우에서 파일을 삭제할 때에는 실제로 해당 파일을 지우는 것이 아니라 해당 파일의 Meta 정보만($MFT 등) 변경하는 것이다. 그러므로, 삭제를 하여 휴지통으로 이동(폴더 경로 변경)되었다 하더라도 손쉽게 우클릭을 통해 복구를 할 수 있는 것이다. 추가적으로, 휴지통으로 이동이 아닌 shift + delete 기능의 경우에는 Meta 정보만($MFT 등) 삭제를 하였다 표기하고, 실제 파일 데이터 영역까지의 링크를 끊는것이므로 해당 영역에는 파일 데이터가 계속 존재하고 있고, 파일 카빙등을 통해 복구할 수 있다.

 

#30. How many files are actually reported to be deleted by the file system? 

---

https://github.com/abelcheung/rifiuti2 "USAGE"

https://github.com/abelcheung/rifiuti2/releases "DOWNLOAD"

Rifiuti2 is a for analyzing Windows Recycle Bin INFO2 file. Analysis of Windows Recycle Bin is usually carried out during Windows computer forensics. Rifiuti2 can extract file deletion time, original path and size of deleted files and whether the trashed files have been permanently removed.

$rifiuti2.exe -o [output] [input : INFO2]