Windows 11의 휴지통에 대한 디지털 포렌식

 

 

Windows 휴지통은 Windows 95에서 처음 만들어져 현재 Windows 11까지 남아있다.
휴지통은 사용자가 삭제한 항목을 임시로 보관하는 임시 저장소다. 
사용자는 휴지통에 저장된 파일이나 폴더를 영구적으로 제거할 수도, 실수로 삭제된 경우는 복구할 수도 있다.

 

Windows 휴지통은 디지털포렌식 조사에서 필수적인 증거로 간주된다.
사용자가 삭제한 모든 항목은 일단은 처음에 휴지통에 들어가기 때문이다. 
휴지통에서는 아래와 같은 정보들을 수집할 수 있다.

1. 삭제된 파일의 이름
2. 삭제 전 파일의 원래 위치
3. 삭제된 파일의 크기
4. 파일이 삭제된 날짜와 시간

 

Windows 2000, NT, XP 및 2003의 경우 '휴지통'은 사용자의 SID 하위 폴더
C:\RECYCLER\{SID}\INFO2 에 있는 "INFO2" 파일에 저장되었다.

Windows Vista, 7, 8, 10의 경우 11는 사용자의 SID 하위 폴더 내에 있는 "$I" 파일에 저장된다. 
폴더 이름은 "$Recycle.bin"으로 변경되었다. C:\$Recycle.Bin\{SID}\$I######

 

탐색기의 숨김파일 보기를 On해도 휴지통 폴더는 보이지 않는다.

W11에서 휴지통 폴더에 접근하는 방법은 아래와 같다.

 

휴지통 안에는 S- 로 시작하는 폴더들이 있다.

하지만, 모든 폴더에 접근할 수는 없다.

이 폴더들은  SID(Security Identifier)별로 만들어져있다.

아래 그림에서 내가 접근할 수 있는 폴더는 S-1-5-21-2933834311-3476290012-4004982723-1001으로

폴더가 비워진 상태에서는 desktop.ini 파일만 보이지만test용 파일 1개를 삭제한 후에는 파일명이 변경되고 파일명 앞에 $R로 시작하는 파일 1개와 $I로 시작하는
파일 1개가 생성된다.

 

 

SID List는 레지스트리 편집기의  아래 폴더에 가면 일괄 볼 수 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

 

 

 

사용자의  SID를 통해 이름을 확인하는 방법은 위 레지스트리에서
해당되는 SID를 선택한 후 ProfileImagePath변수에 저장된 값이 사용자의 이름이다.

각 문자 뒤에는 임의의 6자 문자열이 온다(위 예제에서는 Z8WPBH). 
삭제된 항목 콘텐츠는 $R###### 파일에 저장되고
해당 항목의 메타데이터(파일 삭제 날짜, 원본 파일 경로 및 파일 크기)는 $I###### 파일에 저장된다.

 

---

 

물론, 파일이므로 복사가 된다.

아래에서는 휴지통에 들어있는 메타파일과 삭제파일의 원본을 Temp폴더로 복사했다.

 

복사한 결과는 아래와 같다.

 

 

$I 파일을 Hex Editor로 분석하면

08, 09 Address에 96, d6이 기록되어 있는데  

 

이 값을 10진수로 바꾸면 54,934가 된다.

 

54,934는 삭제된 파일의 바이트 크기값이다. 확인해보면

 

 

Data Structure	Length in Bytes	Offset Range
File Header	8 Bytes	0 – 7 (0x0000 – 0x0007)
File Size	8 Bytes	8 – 15 (0x0008 – 0x000F)
File Deleted Date/Time	8 Bytes	16 – 23 (0x0010 – 0x0017)
File Record	520 Bytes	24 – 543 (0x0018 – 0x021F)

 

파일이 삭제된 시간은 Hex Editor로 열어보면

 

C0 D2 F1 08 D9 12 DA 01 부분이 삭제 시간이다.

이 값을 Hex Timestamp로 변환하면

 

 

 

삭제된 시간과 일치하게 나온다.