• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Анализ корзины Windows в компьютерной криминалистике

Sunnych

Mod. Forensics
Red Team
01.06.2018
121
432
#1
Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны. Вместо этого есть два набора файлов, занявших свое место.
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для родителя.
В принципе, это означает, что его родительский элемент теперь становится корзиной вместо ее исходного местоположения.
Во-вторых, файлу присваивается новое имя. Вместо первоначального имени он теперь называется $R с шестью случайными символами и исходным расширением файла.
Например, если файл был назван «Queen.torrent», он может стать «$RFJAK3T.torrent». Кроме того, создается спаренный административный файл.
Этот административный файл начинается с $I, а затем имеет те же шесть случайных символов и исходное расширение.
Так, парный административный файл с использованием примера выше «$RFJAK3T.torrent» будет «$IFJAK3T.torrent».
Эти файлы $I содержат много информации, даже если перезаписан парный файл $R.
Файлы $I содержат:
  • Размер исходного файла
  • Дата, когда файл был отправлен в корзину
  • Исходный путь исходного файла
Важно: первое, что должен сделать эксперт - скопировать файлы $ корзины ($ Recycled) в место, где они могут быть обработаны (у нас это будет d:\Downloads\ifileparser\test\)
Статья корзина-1.jpg
Статья корзина-2.jpg
Пример рассматриваем в операционной системе Windows 10
Воспользуемся утилитой
Для просмотра контента необходимо: Войти или зарегистрироваться

Статья корзина-3.jpg
Выводимые поля CSV: имя файла $I, имя файла $R, размер (в байтах), дата (UTC), исходный путь, исходное имя файла и хэш MD5 файла $I.
Статья корзина-4.jpg

Для Windows, таких как 95, NT4 и ME с 0.7.0 rifiuti2 (для анализа INFO2) и ещё
Для просмотра контента необходимо: Войти или зарегистрироваться
+
Для просмотра контента необходимо: Войти или зарегистрироваться

Примечание: комплексы FTK, Elcomsoft, Belkasoft, X-Ways делают все эти операции автоматически.
info: место нахождения Корзины в реестре, но не данных которые в ней.
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
Вверх Снизу