윈도우에서 파일을 삭제하는 일반적인 방법은 휴지통에 파일을 버린 후 휴지통 비우기로 삭제하거나, [Shift]+[Delete]를 통해 바로 삭제하는 두 가지 방법이 있다. 윈도우에서는 삭제를 위해 휴지통에 버린 파일들에 대해 복원 기능을 제공하기 때문에 복원을 위해 다양한 정보를 저장하는 정보 파일이 생성되며, 이 파일을 분석함으로써 다양한 정보를 얻을 수 있다.
휴지통 폴더 경로는 운영체제 별로 차이가 있으며, 각 파티션 별로 휴지통 폴더가 존재한다. 또한 각 사용자 별로 휴지통 폴더를 관리하기 때문에 휴지통의 이름이 사용자 SID로 생성이 된다.
사용자의 SID는 아래의 경로에서 확인이 가능하며, [그림 1]과 같이 사용자 SID로 휴지통이 생성된 것이 확인 가능하다.
[그림 1] 사용자 SID로 생성된 휴지통
레지스트리 경로: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
[그림 2] 사용자 SID 관련 레지스트리 정보
윈도우 운영체제별 휴지통 폴더 경로와 휴지통 파일의 정보는 아래와 같다. Windows Vista 이전 버전에서는 정보파일이 단일 파일로 관리가 되었으며, 이후 버전에서는 파일마다 개별 정보파일이 생성된다.
1. Windows NT/2000/XP
휴지통 폴더: C:\Recycler\<USER SID>
삭제된 파일명: D[drive letter][index number].[extension of original]
정보 파일명: INFO2
2. Windows Vista/7
휴지통 폴더: C:\$Recycle.Bin\<USER SID>
삭제된 파일명: $R[random].[extension of original]
정보 파일명: $I[same with $R].[extension of original]
휴지통의 정보파일은 복구를 위해 다양한 정보를 가지고 있다. $I 파일은 삭제된 파일마다 하나씩 생성되며, 544 Bytes 크기를 가진다. 저장되는 정보는 원본 파일 크기, 삭제된 일시, 원본파일 경로, 원본파일명이 저장된다.
Data Structure |
Length |
Offset |
File Header |
8 Bytes |
0 - 7 |
File Size |
8 Bytes |
8 - 15 |
File Deleted Date/Time |
8 Bytes |
16 - 23 |
File Record | 520 Bytes | 24 - 543 |
[표 1] $I 파일 구조
[그림 3] $I 파일 구조
$I 파일의 헤더는 0x0000000000000001으로 모든 파일들이 동일하다. 휴지통은 규칙에 맞는 파일들에 대해서만 일반적인 휴지통 열람으로 확인이 가능하다. $R 파일과 $I 파일 중 하나의 파일이라도 없어진다면 휴지통에서 보여지지 않으며, 일반적인 휴지통 비우기로는 해당 파일들이 삭제되지 않는다.
휴지통 파일 분석시 유의 사항
1) 휴지통에 남아 있는 정보파일이나 파일 카빙을 통해 복구한 정보파일을 분석하여 삭제된 파일에 대한 정보를 얻을 수 있음
2) 악성코드 또는 주요 정보를 은닉하는데 사용될 수 있음
3) 휴지통 폴더에 $I파일은 존재하지만 원본 파일이 존재하지 않는 경우가 있으며, 이 와 같은 케이스로 악성코드가 휴지통에 버려진 후 백신에 의해 치료되어 원본파일이 사라질 수 있음
'Forensic > Windows Artifact' 카테고리의 다른 글
| 프리패치 분석 (Prefetch Analysis) (0) | 2017.02.23 |
|---|
