Recycle Bin Forensics ($RecyleBin Analizi)

 



Recycle Bin Forensics ($RecyleBin Analizi)

Çoğumuzun bildiği gibi geri dönüş kutusu (Recycle Bin) masaüstünde bulunan geri dönüş ikonu üzerinde barındıran mahsun bir dosya 🙂 Windows bir sistem kurulduğunda hatta bizi masa üstümüzde karşılayan ilk dosyamız. Recycle Bin dosyası Microsoft tarafından Windows sistemlerde silinen dosya ve dizinlerin geçici olarak depolandığı dosyadır. Windows sistemlerle beraber gelir silmeye çalıştığımız zaman bile kendiliğinden tekrar oluşmaktadır.  Recycle Bin dizini C:$Recycle.Bin dizininde bulunur. Microsoft, Windows Vista sürümünden sonra $Recycle.Bin ismiyle her bir sürücü altında yer alan bu dizin içinde silinen dosyanın geri kurtarılmasına amaçlayan bir Windows mekanizmasıdır. Recycle Bin kullanıcıların Windows’ta silinen dosyaları kurtarmasına olanak tanır.

Forensic bakış açısı ile mahsum dediğimiz dosyaya baktığımız bizler içinde o kadar bilgi tutuğundan çokta mahsun diyemeyiz 🙂 Windows forensics analizinde bir diğer artifacklerin içerisinde barındıran local disk içerisinde barındırıla $Recycle Bin dizinidir.  Recycle bin artifackleri “C:$Recycle.Bin” Konumlarında bulunur.

 

Windows’ta $Recycle.Bin dizininde silinen dosyalar $Ixxxxx ve $Rxxxxx şeklinde iki dosya oluşturmaktadır. Windows geri kutusu dönüşüm (recycle bin) Adli analiz gerçekleştirilirken içerisinde barındırdığı bilgilerden dolayı yararlı kaynak sunar. Silinen dosyalar “$I” dosyalarına ve “$R” dosyalarına sahip olur.

 

$Rxxxxx şeklinde olan dosyalar, dosyası silinmiş dosyanın yeniden adlandırılmış bir kopyasıdır. Gerçek dosyanın içeriğini içerir.

$Ixxxxx şeklinde olan dosyalar, $R dosyası için silinmiş orijinal adı, yolu, tarihi ve zaman damgası içerir.

 

 

$Recycle Bin Analizi

Silinen dosya hakkında elde edilen bilgiler sayesinde delil karatma ve yönteminin kullanılması durumunda arta kalan delillerin bulunması noktasında bizlerin işini kolaylaştırmaktadır. $Reycel.bin dizininde iki farklı türde dosya elde etmeden önce;

$I Dosyası (Windows Vista ve Sonrası)

C:$Recycle.BinSID$Ixxxxxx şeklinde tutulur, içerisinde;

·         Dosya adı ve silinen dosyanın tam yolu

·         Silinen dosyanın boyutu

·         Dosyanın silindiği tarih/saat.

Bilgileri tutar

$R Dosyası (Windows Vista ve Sonrası)

C:$Recycle.BinSID$Rxxxxxx şeklinde tutulur.

$R Dosyası, silinen dosyanın içeriğini içerir.

 

SID alt klasörü, dosyayı silen kullanıcının SID’sine karşılık gelir. Alt klasör, belirli bir kullanıcı için Geri Dönüşüm kutusuna gönderilen bir dosyanın ilk silinmesiyle oluşturulur. $I meta-veridir, $R, orijinal dosyanın içeriğini temsil eden gerçek kurtarma verileridir.

 

$recycle.Bin dizini altında yer alan dosyaları parse edip anlamlı veriler tespit etmek için Rifiuti2, Recbin.exe, $I Parse gibi toolların yardımına ihtiyacımız bulunmaktadır. Benim favori araçlarımdan olan $I parse aracından bu blog yazımda bahsedeceğim.

 

Directory of $I Files -> bu kısma elde etmiş olduğumuz recycle.bin dosyalarını gösteriyoru.

Output File -> bu kısma ise elde etmiş olduğumuz dosyaları parse edip anlamlı verinin çıktısının yolunu gösteriyoruz.

Daha sonra belirlemiş olduğumuz dizine bir çıktı sunmaktadır.

Oluşan çıktı;

 

Şeklinde görüntüleyebiliriz.

Bu gerçekleşen analizler geri dönüşüm kutusunda yani Recycle Bin dizininde bulunan silinmiş dosyalar için kullanılabilir. Geri dönüşüm kutusundan veya tamamen silinen dosyaları analiz etmek için farklı yöntem kullanılması gerekmektedir. 

 

 

 

 

 

 

 

 

 

Kaynak:

https://df-stream.com/recycle-bin-i-parser/

http://halilozturkci.com/adli-bilisim-windows-recycle-bin-forensics/

 

Comments

  1. Szpiegowskie Telefonu

    Szpiegowskie telefonu – Ukryta aplikacja śledząca, która rejestruje lokalizację, SMS-y, dźwięk rozmów, WhatsApp, Facebook, zdjęcie, kamerę, aktywność w Internecie. Najlepsze do kontroli rodzicielskiej i monitorowania pracowników. Szpiegowskie Telefonu za Darmo – Oprogramowanie Monitorujące Online.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir