[디지털 포렌식]09. Window Artifacts4

리사이클 빈, 볼륨 섀도 복사, VCS, 기타 로그

by Jyoo

Jan 20. 2025

01. Recycle Bin

1. Delete / Permanently Delete

삭제 (Delete)

: 파일을 휴지통으로 이동. 데이터 영역은 초기화되지 않아 덮어쓰지 않는 한 복구가 가능하다.

윈도우: 'Delete' 키, 'Ctrl + D' 키.

유닉스: 'Delete' 명령어, 'trash-cli'.

영구 삭제 (Permanently Delete):

: 파일을 휴지통을 거치지 않고 바로 삭제. 데이터 영역은 초기화되지 않으나 복구가 더 어렵다.

윈도우: 'Shift + Delete' 키. 유닉스: 'rm' 명령어.

2. Recycle Bin

: 삭제된 파일, 폴더를 관리하는 특별한 폴더

특징: 각 볼륨마다 휴지통이 있으며, 각 계정은 고유한 하위 폴더를 가짐(SID, 보안ID) 폴더 위치: Windows 95/98/ME: {VOL}:\\RECYCLED\\ Windows NT/2000/XP: {VOL}:\\RECYCLER\\ Windows Vista 이후: {VOL}:\\$RECYCLE.BIN\\

분석 방법 Windows XP {VOL}:\\RECYCLER\\\\INFO2, {VOL}:\\RECYCLER\\\\D[original drive letter][index number].[extension] Windows Vista 이후 {VOL}:\\$RECYCLE.BIN\\\\$I[random 6 ASCII characters].[extension], {VOL}:\\$RECYCLE.BIN\\\\$R[random 6 ASCII characters].[extension]

$I 파일의 정보

Windows Vista/7/8의 경우

0x00 (8바이트): $I 파일 버전.

0x08 (8바이트): 원본 파일 크기.

0x10 (8바이트): 삭제 시간.

0x18 (520바이트): 원본 파일 경로.

Windows 10 이후의 경우

0x00 (8바이트): $I 파일 버전.

0x08 (8바이트): 원본 파일 크기.

0x10 (8바이트): 삭제 시간.

0x18 (4바이트): 데이터 길이.

0x1C (len*2 바이트): 원본 파일 경로.

Tool RBcmd : 휴지통 정보 확인 가능. 파일 버전, 크기, 이름, 삭제 시간 등 출력

$I/$R 파일 관리의 이상한 동작 삭제된 파일을 복원하면 → $R 파일은 삭제되지만, $I 파일이 그대로 남아 있을 수 있다 동일한 파일을 다시 삭제하면 → 이전 $I 파일이 남아 있을 수 있다 ( $I 파일이 새로 생성되고 $R 파일도 새로 생성됨)

02. Volume Shadow Copy

1. Volume Shadow Copy (볼륨 섀도 복사)

: 볼륨의 백업 스냅샷을 생성하는 기능.

Volume의 VSC는 과거 특정 시점의 백업 스냅샷.

생성 시기 : 7일마다(예약된 체크포인트), 시스템 업데이트, 프로그램 설치, 수동 생성

2. VSC 서비스 작동 매커니즘

작동 방법

카탈로그 : {VOL}:\\System Volume Information\\{3808876b-c176-4e48-b7ae-04046e6cc752}

저장소 : 변경된 블록(구 블록)을 16KiB 단위로 저장

NTFS 볼륨의 $Boot의 마지막 섹터에서부터 15번째 섹터에 스토어가 위치함

VSC 포맷 카탈로그 헤더는 기본 정보를 저장 저장소는 변경된 데이터 블록을 저장

VSC 조사 vssadmin list shadow /for=C: 볼륨의 섀도 복사본 목록 확인 섀도 복사본 ID, 생성 시간, 원본 볼륨, 섀도 복사본 볼륨, 시스템 이름, 제공자, 유형, 속성 mklink /D H:\\VSC \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy3\\ VSC에 액세스 하기 위한 심볼릭 링크 생성