Статья Анализ корзины Windows в компьютерной криминалистике

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
  • File name and full path of the deleted file (Имя файла и полный путь к удаленному файлу)
  • Size of the deleted file (Размер удалённого файла)
  • Date/Time at which the file was deleted (Дата/время, когда файл был удален)
C:\RECYCLER\SID*\INFO2
под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Вместо этого есть два набора файлов, занявших свое место.
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для родителя.
В принципе, это означает, что его родительский элемент теперь становится корзиной вместо ее исходного местоположения.
Во-вторых, файлу присваивается новое имя. Вместо первоначального имени он теперь называется $R с шестью случайными символами и исходным расширением файла.
исходное содержимое файла переименовано в « », за которым следует буква диска, на которой был удален файл (например, «C»), за которым следует номер индекса (начиная с «0», увеличиваясь в порядке удаления), а затем исходное расширение файла
Например, если файл был назван «Queen.torrent», он может стать «$RFJAK3T.torrent». Кроме того, создается спаренный административный файл.
Этот административный файл начинается с $I (C:\$Recycle.Bin\SID*\$Ixxxxxx)
Под папка sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину
(the sid sub-folder corresponds to the SID of the user that deleted the file. The sub-folder is created for a given user upon first deletion of a file that is sent to the Recycle Bin)
а затем имеет те же шесть случайных символов и исходное расширение.
Так, парный административный файл с использованием примера выше «$RFJAK3T.torrent» будет «$IFJAK3T.torrent».
Эти файлы $I содержат много информации, даже если перезаписан парный файл $R.
Файлы $I содержат:
  • Размер исходного файла
  • Дата, когда файл был отправлен в корзину
  • Исходный путь исходного файла
Важно: первое, что должен сделать эксперт - скопировать файлы $ корзины ($ Recycled) в место, где они могут быть обработаны (у нас это будет d:\Downloads\ifileparser\test\)
Статья корзина-1.jpg
Статья корзина-2.jpg
Пример рассматриваем в операционной системе Windows 10
Воспользуемся утилитой
Статья корзина-3.jpg
Выводимые поля CSV: имя файла $I, имя файла $R, размер (в байтах), дата (UTC), исходный путь, исходное имя файла и хэш MD5 файла $I.
Статья корзина-4.jpg

Для Windows, таких как 95, NT4 и ME с 0.7.0 (для анализа INFO2) и ещё +
Примечание: комплексы FTK, Elcomsoft, Belkasoft, X-Ways делают все эти операции автоматически.
info: место нахождения Корзины в реестре, но не данных которые в ней.
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

CONTINUED (детальный анализ)​
Код:
# CMD
dir
dir/a
Статья корзина-5.jpg
Код:
C:\>cd $Recycle.Bin
C:\$Recycle.Bin>dir/a
Статья корзина-6.jpg
выведем привязки SID к всем пользователям данной системы
Код:
C:\$Recycle.Bin>wmic useraccount get name,sid
Статья корзина-7.jpg
не забываем что в системе корзина может быть на разных разделах, выведем информацию о файле из корзины
Код:
notepad $IBQ47AK.txt
Статья корзина-8.jpg

Почему всегда важно проверять все варианты подхода к рассмотрению интересующей информации, пример нашей корзины и того что с версиями операционной системы меняются методы хранения файлов корзины,
явный пример начиная с Windows 8.1/10, из за таких моментов некоторые ранее написанные парсеры и не работают на более новых операционных системах.
Статья корзина-9.jpg
Как вы можете видеть, единственным структурным изменением в версии Windows 10 является добавление поля длины имени файла в смещение 24. Это, как правило, приводит к тому, что файлы $I из систем Windows 10 меньше, чем в предыдущих версиях, поскольку $I делаю только столько, сколько нужно. В предыдущих версиях каждый файл $I представлял собой статический 544 байта. Хотя это не структурное, другое изменение можно найти в поле заголовка / версии. Поле заголовка для Vista, 7, 8 и 8.1 - 0x01, а это поле 0x02 для Windows 10. Это позволяет легко отличить две версии при разборе.
Инструмент показывающий в последнем столбце вывода версию операционной системы
как это работает, копируем интересующие нас файлы в удобное для нас место положение
D:\$RECYCLE.BIN\S-1-5-21-3995366630-3695787855-164746570-1001>copy $I* C:\Users\toor\Desktop\$I
Статья корзина-10.jpg
Наш результат
Статья корзина-11.jpg
 
Последнее редактирование:
SearcherSlava

SearcherSlava

Red Team
10.06.2017
754
1 062
Здравы будьте!

tia - это версия инструмента для командной строки, предназначенная для анализа артефактов корзины Windows. Инструмент был разработан для работы с различными версиями форматов корзины от WinXP до Win10. Сгенерированные отчеты представляют собой различные варианты вывода CSV, чтобы обеспечить максимальную гибкость при экспорте результатов в электронную таблицу или другую базу данных.

В Windows, когда пользователь удаляет файл, операционная система переименовывает файл, а затем помещает его во временный каталог. Он остается во временном каталоге, пока мусор не будет очищен. В процессе удаления Windows создает другой сопутствующий файл, который содержит метаданные, связанные с удаленным файлом. Эти метаданные содержат время удаления вместе с путем / именем файла или папки, которые были удалены.

Временная папка, в которой хранится удаленная запись и связанные с ней метаданные, находится в каталоге корзины. Для Windows XP этот корневой каталог является папкой Recycler, а целевой файл, содержащий метаданные, является файлом info2. Каждая учетная запись на машине имеет свою собственную подпапку. Имя этой подпапки определяется SID (или идентификатором безопасности) для учетной записи пользователя. Например, если посмотреть на диск C: это будет C: \ Recycler \ {account SID} \ info2.

В Windows Vista и более поздних версиях корневым каталогом является папка $ Recycle.Bin, а файлы метаданных - это файлы с префиксом $I, за которым следуют некоторые случайные символы. (которые также находятся в каждом соответствующем аккаунте).

С точки зрения криминалистики, анализ метаданных в этих файлах позволяет увидеть, какие и когда файлы и / или папки были удалены, а также из подкаталога корзины, учетная запись которого была ответственна за удаление.
 
Последнее редактирование модератором:
Мы в соцсетях: