Recycle Bin

휴지통

• 파일을 삭제하고 복원하거나 영구 삭제할 수 있음

​

• 휴지통 폴더 확인 -> 파일 탐색기 보기 설정 변경 (숨긴항목에 체크표시 / 보기 - 표시 - 숨긴항목)

​

• 휴지통 폴더는 볼륨 단위로 생성
  • 로컬 디스크로 인식되는 경우에 생성
  • USB 등 이동식 디스크, 네트워크 드라이브 등은 생성되지 않음

​

• "휴지통" 아이콘
  • 모든 볼륨의 휴지통 폴더를 통합하여 보여줌
  • 그러나 하나의 폴더로 존재하는 것은 아님

​

• 휴지통 아티팩트 (파일 삭제 시)
  • 휴지통 폴더 경로 : <Volume>\$Recycle.Bin\<SID>\
  • 삭제된 파일 : $R<임의 문자열 6자리>.<원본 파일 확장자>
  • 삭제 관련 메타데이터 : $l<임의 문자열 6자리>.<원본 파일 확장자>
    • 원본 파일의 경로, 휴지통으로 삭제된 시각 등
  • +) 숨긴 파일이므로 Recycle.Bin에 들어가 cmd에서 확인할 때 dir /a처리를 해주어야함

// 메타데이터 : 언제 삭제되었는지, 원본 파일 경로가 어디인지, 크기가 얼마였는지 등에 관한 정보

​

• 휴지통 아티팩트 (파일 복원 시)
  • 삭제된 파일($R)은 사라짐
  • 삭제 관련 메타데이터(%I)은 남아있음

​

• 휴지통 아티팩트 (휴지통 비우기)
  • 삭제된 파일($R) 및 삭제 관련 메타데이터(%I) 모두 삭제

​

• 휴지통 아티팩트 실습
  • 테스트용 폴더 및 파일 생성
  • 1) 삭제 2)복구 3)휴지통 비우기 실습

​

• 메타데이터 분석
  • Windows File Analyzer https://mitec.cz/wfa.html
  • 파일 경로, 삭제된 지점, 크기 확인

​

# 휴지통 아티팩트 실습

파일을 하나 지운 상태, 22.08.02 I파일 발견

그러나 R파일은 발견하지 못함

​

복원을 했을때 마찬가지로 I파일을 확인할 수 있음

​

이후 이 파일을 완전히 삭제한 후 확인해보자

​

마찬가지로 아무런 변화가 없다..

​

#메타데이터 실습

도구를 다운로드 받고

파일 - analyze - c드라이브

그러나 관리자 모드로 실행했음에도 불구하고 recycle.bin에 대한 접근이 안됨..

​

​

I가 남아있는 경우 이 메타데이터를 참고해서 정보를 확인할 수 있음

​