Статья Анализ корзины Windows в компьютерной криминалистике

Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.

Примечание 1: INFO2, Metadata File (Windows 95/98/Me)

• File name and full path of the deleted file (Имя файла и полный путь к удаленному файлу)
• Size of the deleted file (Размер удалённого файла)
• Date/Time at which the file was deleted (Дата/время, когда файл был удален)

Примечание 2: INFO2, Metadata File (Windows NT/2000/XP)

C:\RECYCLER\SID*\INFO2
под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)

Вместо этого есть два набора файлов, занявших свое место.
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для родителя.
В принципе, это означает, что его родительский элемент теперь становится корзиной вместо ее исходного местоположения.
Во-вторых, файлу присваивается новое имя. Вместо первоначального имени он теперь называется $R с шестью случайными символами и исходным расширением файла.

Примечание для Windows Vista

исходное содержимое файла переименовано в « », за которым следует буква диска, на которой был удален файл (например, «C»), за которым следует номер индекса (начиная с «0», увеличиваясь в порядке удаления), а затем исходное расширение файла

Например, если файл был назван «Queen.torrent», он может стать «$RFJAK3T.torrent». Кроме того, создается спаренный административный файл.
Этот административный файл начинается с $I (C:\$Recycle.Bin\SID*\$Ixxxxxx)

*

Под папка sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину
(the sid sub-folder corresponds to the SID of the user that deleted the file. The sub-folder is created for a given user upon first deletion of a file that is sent to the Recycle Bin)

а затем имеет те же шесть случайных символов и исходное расширение.
Так, парный административный файл с использованием примера выше «$RFJAK3T.torrent» будет «$IFJAK3T.torrent».
Эти файлы $I содержат много информации, даже если перезаписан парный файл $R.
Файлы $I содержат:

• Размер исходного файла
• Дата, когда файл был отправлен в корзину
• Исходный путь исходного файла

Важно: первое, что должен сделать эксперт - скопировать файлы $ корзины ($ Recycled) в место, где они могут быть обработаны (у нас это будет d:\Downloads\ifileparser\test\)

c:\$Recycle.Bin\S-1-5-21-3995366630-3695787855-164746570-1001\

copy to d:\Downloads\ifileparser\test\

Пример рассматриваем в операционной системе Windows 10
Воспользуемся утилитой

Ссылка скрыта от гостей

$I File Parser

Выводимые поля CSV: имя файла $I, имя файла $R, размер (в байтах), дата (UTC), исходный путь, исходное имя файла и хэш MD5 файла $I.

Полученные данные

Для Windows, таких как 95, NT4 и ME с 0.7.0 rifiuti2 (для анализа INFO2) и ещё

Ссылка скрыта от гостей

+

Ссылка скрыта от гостей

Примечание: комплексы FTK, Elcomsoft, Belkasoft, X-Ways делают все эти операции автоматически.
info: место нахождения Корзины в реестре, но не данных которые в ней.
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

CONTINUED (детальный анализ)​

# CMD
dir
dir/a

dir & dir/a

C:\>cd $Recycle.Bin
C:\$Recycle.Bin>dir/a

C:\$Recycle.Bin>dir/a

выведем привязки SID к всем пользователям данной системы

C:\$Recycle.Bin>wmic useraccount get name,sid

wmic useraccount get name,sid

не забываем что в системе корзина может быть на разных разделах, выведем информацию о файле из корзины

notepad $IBQ47AK.txt

cmd to notepad

Почему всегда важно проверять все варианты подхода к рассмотрению интересующей информации, пример нашей корзины и того что с версиями операционной системы меняются методы хранения файлов корзины,
явный пример начиная с Windows 8.1/10, из за таких моментов некоторые ранее написанные парсеры и не работают на более новых операционных системах.

Структура $I до Windows 10, и в Windows 10

Подробно

Как вы можете видеть, единственным структурным изменением в версии Windows 10 является добавление поля длины имени файла в смещение 24. Это, как правило, приводит к тому, что файлы $I из систем Windows 10 меньше, чем в предыдущих версиях, поскольку $I делаю только столько, сколько нужно. В предыдущих версиях каждый файл $I представлял собой статический 544 байта. Хотя это не структурное, другое изменение можно найти в поле заголовка / версии. Поле заголовка для Vista, 7, 8 и 8.1 - 0x01, а это поле 0x02 для Windows 10. Это позволяет легко отличить две версии при разборе.

Инструмент показывающий в последнем столбце вывода версию операционной системы

Ссылка скрыта от гостей

как это работает, копируем интересующие нас файлы в удобное для нас место положение
D:\$RECYCLE.BIN\S-1-5-21-3995366630-3695787855-164746570-1001>copy $I* C:\Users\toor\Desktop\$I

копирование файлов, запуск $I Parse

Наш результат

результат parse.tsv

 

[SearcherSlava]

Здравы будьте!

Trash Inspection & Analysis (tia)

Ссылка скрыта от гостей

tia - это версия инструмента для командной строки, предназначенная для анализа артефактов корзины Windows. Инструмент был разработан для работы с различными версиями форматов корзины от WinXP до Win10. Сгенерированные отчеты представляют собой различные варианты вывода CSV, чтобы обеспечить максимальную гибкость при экспорте результатов в электронную таблицу или другую базу данных.

В Windows, когда пользователь удаляет файл, операционная система переименовывает файл, а затем помещает его во временный каталог. Он остается во временном каталоге, пока мусор не будет очищен. В процессе удаления Windows создает другой сопутствующий файл, который содержит метаданные, связанные с удаленным файлом. Эти метаданные содержат время удаления вместе с путем / именем файла или папки, которые были удалены.

Временная папка, в которой хранится удаленная запись и связанные с ней метаданные, находится в каталоге корзины. Для Windows XP этот корневой каталог является папкой Recycler, а целевой файл, содержащий метаданные, является файлом info2. Каждая учетная запись на машине имеет свою собственную подпапку. Имя этой подпапки определяется SID (или идентификатором безопасности) для учетной записи пользователя. Например, если посмотреть на диск C: это будет C: \ Recycler \ {account SID} \ info2.

В Windows Vista и более поздних версиях корневым каталогом является папка $ Recycle.Bin, а файлы метаданных - это файлы с префиксом $I, за которым следуют некоторые случайные символы. (которые также находятся в каждом соответствующем аккаунте).

С точки зрения криминалистики, анализ метаданных в этих файлах позволяет увидеть, какие и когда файлы и / или папки были удалены, а также из подкаталога корзины, учетная запись которого была ответственна за удаление.