-
Recycle.bin 폴더 내에는 SID로 구성된 폴더가 존재
-
SID와 일치하는 "사용자 계정"이 해당 계정의 휴지통
-
해당 폴더는 MAC 시간이 기록되어 있음.
-
- %systemroot%\system32\config\ => SOFTWARE 하이브 파일을 수집 / 2. \Microsoft\Windows NT\CurrentVersion\ProfileList\ Key 의 Value로 SID 확인
-
$R의 경우 삭제된 원본 파일 그 자체
-
$I의 경우 삭제된 파일의 크기, 삭제된 시간, 파일 경로의 길이(HEX값 내에서), 삭제된 파일의 경로를 저장하고 있음.
-
RECMD 사용 가능.
- 파일 삭제 시 해당 파일의 MFT Entry 삭제 => Recycle.bin 폴더 경로로 새 MFT Entry 생성
A. 파일의 Metadata만 변경될 뿐, 원본은 변화 X - 삭제 파일 크기
- 삭제 시간
- 삭제된 원본 파일 경로
- 삭제 파일 이름
- 삭제 파일 확장자
- whoami /all 을 통해 컴퓨터의 모든 사용자 정보 & user Sid 정보 확인 가능.
Forensic/Security/IT