Widnows 7 휴지통(Recycle.Bin) 분석을 통한 하드디스크(HardDisk) 탈착 흔적 분석

분석에 앞서, 휴지통(Recycle.Bin)은 언제 생성되는가? (Windows XP 의경우 Recycler 폴더가 생성됨)
–> 파일을 선택후 “Delete” Key 를 누르는 순간 휴지통 폴더가 생성된다. 테스트 방법은 간단하다. 휴지통 폴더를 삭제 후에 파일에서 “Delete” Key 를 누르면 휴지통이 생성되는것을 바로 확인 할 수 있다.
–> Shift + delete Key 를 누를 경우에는 생성되지 않는다.
–> 현재 로그인한 계정으로 휴지통이 생성된다. 즉, 계정별로 구분되어서 휴지통이 생성된다.(휴지통마다 고유한 값을 가지고 있다. SID)
* Widnows 7 의 경우 Public 계정이 생성되어 있는것을 참고로 한다.

하드디스크 탈착 분석시 확인 사항
레지스트리 값 확인
–> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21 ~~~~~~~ 으로 생성됨
즉, 이 위치에 생성되어 있는 값과 휴지통에 생성된 SID 값을 비교해서 불일치 하는 휴지통은 의심의 대상이 된다.

휴지통에 있는 파일이 아직 삭제되지 않았다면..
–> $I 로 시작하는 파일들을 확인해서, 해당 경로를 확인한다. 대부분은 파일들은 User\계정명\ 으로 시작하는 폴더에서 파일이 생성되기 때문에, 혹시 계정명이 “우리집”,”홍길동” 등 회사에서 사용하고 있는 계정과 다르다고 하면 의심해 볼 필요가 있다. 즉, 이 하드디스크는 집에 한번 연결되었다가 회사로 반입될 가능성이 있다.
–> 이런 계정정보가 없다면, 인터뷰를 통해서 역추적 해야한다. “PC 지급 날짜 또는 인사이동 등등”의 질문 들을 통해서 탈부착 여부를 확인해야한다.

Comments are closed.

Post Navigation