윈도우 시스템에서 Shift + Delete 를 이용하면 파일이 완전히 삭제되며, 그렇지 않은 방법으로 지우면 파일이 임시로 휴지통에 들어가고 추후 복원이 필요하면 복원을 할 수 있다. 즉 파일을 삭제하면 휴지통으로 이동되고 실제로는 지우지 않고 메타정보만을 변경한다. 휴지통 분석은 파일 삭제 시각, 삭제된 파일의 원본 경로 및 크기 정보를 얻을 수 있다.
휴지통 폴더 밑에 사용자 SID 이름으로 휴지통 폴더가 생성이 된다. 파티션마다 따로 휴지통 폴더가 생성된다.
사용자 SID는 아래의 경로에서 확인이 가능하다.
- 레지스트리 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
또는 cmd 창에서 wmic UserAccount Where LocalAccount=True Get SID 명령어로 확인 가능하다.
파일 삭제 시 휴지통으로 이동된 파일은 파일별로 $I, $R 파일이 생성된다.
| 종류 | 이름 규칙 | 내용 |
| $R | $R [임의 문자열].[원본 파일 확장자] | 원본 파일과 동일함 |
| $I | $I [임의 문자열].[원본 파일 확장자] | 삭제된 파일의 정보 |
$I 분석으로 아래와 같은 정보를 확인할 수 있다.
- 삭제 파일 이름 & 확장자
- 삭제되기 전 파일 경로 & 이름
- 파일 크기
- 삭제 시각
FTK Imager와 RBcmd 프로그램으로 $I 정보를 파싱하여 csv로 확인 가능하다.
- 파일 구조
$I 파일은 544byte 크기를 가지며 아래와 같은 정보를 가진다.
| 범위(Hex) | 크기(Byte) | 이름 | 설명 |
| 0x00 - 0x07 | 8 | Header | 파일 헤더 |
| 0x08 - 0x0F | 8 | File Size | 원본 파일 크기 |
| 0x10 - 0x17 | 8 | Deleted Timestamp | 삭제된 파일 시간 정보 |
| 0x18 - 0x1B | 4 | File Name Size | 원본 파일 경로 사이즈 |
| 0x1C - 0x-- | 가변적 | File Name | 원본 파일 경로(Unicode) |
'Forensics > Windows Forensics' 카테고리의 다른 글
| Volume Shadow Copy (0) | 2025.02.23 |
|---|---|
| USB 장치 분석 (0) | 2025.02.20 |
| Printer Spooler 분석 (0) | 2025.02.19 |
| 쉘백(ShellBag) (0) | 2025.02.19 |
| 윈도우 포렌식 개요 (0) | 2025.02.18 |
