휴지통포렌식 JK Kim @pr0neer proneer@gmail.com
개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2
휴지통 Security is a people problem 3
휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT 조합 레지스트리설정 NukeOnDelete 2000/XP HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket Vista/7 HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\Bitbucket\Volume\{GUID} 4
휴지통 휴지통폴더 운영체제버전별기본폴더 운영체제기본파일시스템휴지통폴더 윈도우 9x/ME FAT32 <volume>\recycled\ 윈도우 NT/2K/XP NTFS <volume>\recycler\<user SID>\ 윈도우 Vista/7 NTFS <volume>\$recycle.bin\<user SID>\ 볼륨마다휴지통폴더존재 각볼륨마다독립된휴지통공간 특정볼륨에서지운파일은해당볼륨의휴지통으로이동 사용자 SID(Security ID) 별로폴더존재 각사용자마다독립된휴지통공간 특정사용자가지운파일은해당사용자 SID 휴지통폴더로이동 5
휴지통 삭제된파일 NT/2K/XP 에서삭제된파일목록 삭제된파일형식 D [ 원본파일이위치한볼륨명 ] [ 인덱스번호 ]. [ 원본파일확장자 ] 원본파일경로, 삭제된시간등의정보는 INFO2 파일로관리 6
휴지통 삭제된파일 Vista/7 에서삭제된파일목록 삭제된파일형식 $R [ 임의문자열 ]. [ 원본파일확장자 ] 원본파일경로, 삭제된시간등의정보는 $I [ 임의문자열 ]. [ 원본파일확장자 ] 파일로관리 7
휴지통 파일의삭제와복원 휴지통이용파일삭제시변화 파일을삭제할경우해당파일의 MFT 엔트리 (NTFS 경우 ) 삭제 휴지통폴더의새로운파일이름으로 MFT 엔트리생성 결과적으로, 파일삭제시파일메타정보의변경만일어나고파일내용 ( 데이터영역 ) 은변화없음 휴지통이용파일복원시변화 파일을복원할경우휴지통 MFT 엔트리삭제후, 원본파일경로에새로운 MFT 엔트리생성 원본파일경로를저장하는파일 NT/2K/XP : INFO2 Vista/7 : $I #### 파일의시간정보는삭제와복원시그대로유지 8
휴지통 파일의삭제와복원 휴지통최대크기에따른삭제와복원 휴지통은설정한최대크기를넘지않을경우, 삭제한파일모두복구가능 최대크기를넘길경우오래된파일부터차례로삭제 휴지통크기설정 : 휴지통 등록정보 9
휴지통파일구조 Security is a people problem 10
휴지통파일구조 NT/2K/XP INFO2 INFO2 파일구조 파일헤더 파일레코드 ( 반복 ) 운영체제휴지통폴더이름 INFO2 레코드길이 윈도우 9X/Me Recycled 280 bytes 윈도우 NT/2K Recycler 800 bytes 윈도우 XP/2003 Recycler 800 bytes 11
휴지통파일구조 NT/2K/XP INFO2 INFO2 파일구조 범위 크기 설명 0 11 12 bytes 알수없는영역 12 15 4 bytes 파일레코드크기, 항상 0x00000320 (800) ~ 0 263 264 bytes 원본파일경로 (ASCII) 264 267 4 bytes 레코드번호 268 271 4 bytes 볼륨번호 (C = 02, D = 03, E = 04, ) 272 279 8 bytes 삭제된시간 / 날짜 (Windows 64-bit Timestamp, FILETIME) 280 283 4 bytes 원본파일크기 284 799 516 bytes 원본파일경로 (UNICODE) 12
휴지통파일구조 NT/2K/XP INFO2 INFO2 파일구조 Record Number Drive Designator File Record Size Original File Path (ASCII) File Deleted Time Deleted File Physical Size Original File Path (UNICODE) 13
휴지통파일구조 NT/2K/XP INFO2 INFO2 파일구조 복원후 14
휴지통파일구조 NT/2K/XP INFO2 INFO2 파일구조 휴지통비우기후 휴지통을비울경우 INFO2 파일은 20 바이트의헤더만유지 파일슬랙을이용하여삭제된파일정보확인 INFO2 파일이연속이었다면클러스터이상의정보확인가능 15
휴지통파일구조 Vista/7 $I 파일 $I 파일구조 고정된 544 바이트크기로삭제된파일마다하나씩생성 범위크기설명 0 7 8 bytes 파일헤더 8 15 8 bytes 원본파일크기 16 23 8 bytes 삭제된파일시간정보 (Windows 64-bit Timestamp, FILETIME) 24 543 520 bytes 원본파일경로 (UNICODE) 16
휴지통파일구조 Vista/7 $I 파일 $I 파일구조 File Deleted Data/Time File Header Original File Size Original File Path 17
휴지통파일구조 Vista/7 $I 파일 $I 파일의복원과휴지통비우기 윈도우 Vista/7 은삭제된파일마다 $I 파일이존재하며, 원본경로와삭제된시간등의정보저장 파일의복원이나휴지통비우기시 $I 파일은삭제됨 파일복구성능에따라복원및휴지통비우기이전흔적분석가능 18
휴지통파일카빙 Security is a people problem 19
휴지통파일카빙 시그니처카빙 카빙의필요성 휴지통파일 (INFO2, $I) 은휴지통을사용하는윈도우환경에서필수적인카빙대상 파일삭제및휴지통비우기는비교적빈번하게이루어짐 휴지통파일이삭제됨 카빙을통해삭제된파일의흔적파악 20
휴지통파일카빙 시그니처카빙 INFO2 파일카빙 파일헤더의파일레코드크기는항상고정이므로해당값을통해카빙 INFO2 File Offset 0C : 0x00000320 (800) $I 파일카빙 파일헤더의 8 바이트값을이용해카빙 추가검증필요 $I File Offset 00 : 0x00000000 00000001 21
휴지통파일분석 Security is a people problem 22
휴지통파일분석 휴지통분석도구 Windows File Analyzer (http://www.mitec.cz/wfa.html) 23
휴지통파일분석 휴지통분석도구 INFO2 파일분석도구 rifiuti2 (http://code.google.com/p/rifiuti2/) 24
질문및답변 25