Home > 고객센터 > 복구관련 자료실

복구관련 자료실

게시글 검색
휴지통 포렌식이란
관리자 조회수:1139
2017-11-15 18:55:40
  • Introduction

윈도우 환경에서 탐색기로 파일을 지우게 되면 일반적으로 지워진 파일은 휴지통으로 이동 되며 이 파일은 사용자가 휴지통을 비울 때까지 휴지통 내에서 유지됩니다.

 

     

 

사용자는 Shift 키를 누른 상태로 파일을 지우거나 레지스트리에 NukeOnDelete 를 설정 함으로써 휴지통으로 이동하지 않고 바로 지워지게 할 수 있습니다.

휴지통에 저장되는 경우 파일은 숨김 파일로 되며 파일 이름이 변경되고 파일에 어떤 작업이 수행되는지에 대한 추가 정보가 저장됩니다. 이 시점에서 파일을 복원 할 수도 있고 사용자가 영구적으로 파일을 삭제할 수도 있습니다.

그러기 위해서는 원래 상태의 파일과 관련된 정보가 저장되어 있어야 합니다

 

  •    Background
휴지통 정보 파일의 구조 및 명명 규칙 작동 방법을 이해하려면 먼저 휴지통의 작동 방식을 이해해야 합니다. 

사용자가 Windows에서 파일을 "삭제"하면 파일 자체가 실제로 삭제되지 않고 휴지통 시스템 폴더에 복사되어 보관됩니다. 
이 위치는 사용자가 실행중인 Windows 환경에 따라 다르다.

최근 들어 대부분 windows7이상을 사용하고 있기 때문에 Vista 이상의 경우만 예를 들어 설명합니다.

 

 

삭제된 파일 형식은  $R [ 임의 문자열] . [원본 파일 확장자], 원본 파일 경로, 삭제된 시간 등의 정보는 $I [임의 문자열] . [원본 파일 확장자] 파일로 관리됩니다.

  • SID 구조

사용자가 파일을 삭제할 때 해당 파일이 자신의 SID 폴더에 나타나기 때문에 사용자는 각 논리  파티션에 별도로 존재한다.

즉, 사용자 별로 SID가 생성되기 때문에  같은 드라이브 내에서도 여러개 존재할 수 있다.

 위그림에서 SID는 S-1-5-21-3902995310422286358-307047023-1000 이다.

- "S"는 문자열 보안 식별자임을 의미합니다.

- '1"은 개정 레벨을 나타냅니다.

- "5"는 식별자 기관입니다.

- 문자열의 나머지 부분인 21-3902995310422286358-307047023"은 도메인 또는 로컬 컴퓨터 식별자 입니다.

- 끝에 있는 "1000"은 상대 ID로 500은 사용자가 시스템 관리자임을 나타내고  기본적으로 만들어지지 않은 그룹이나 사용자는 상대 ID가 1000 이상입니다.

 

  • $I File의 구조

Data Structure

Length in Bytes

Offset to Beginning of Structure

File Header

8 Bytes

0x00

File Size

8 Bytes

From Beginning of File 0x08

File Delete Date and Time

8 Bytes

From Beginning of File 0x10

File Name and Path (Before Being Deleted)

Up To 520 Bytes

From Beginning of File 0x18

 

실제 파일내부 구성은 아래그림과 같이 되어있다.