Recycle Bin Forensics ($RecyleBin Analizi)
Recycle Bin Forensics ($RecyleBin Analizi)
Çoğumuzun bildiği gibi geri dönüş kutusu (Recycle Bin)
masaüstünde bulunan geri dönüş ikonu üzerinde barındıran mahsun bir dosya :)
Windows bir sistem kurulduğunda hatta bizi masa üstümüzde karşılayan ilk
dosyamız. Recycle Bin dosyası Microsoft tarafından Windows sistemlerde silinen
dosya ve dizinlerin geçici olarak depolandığı dosyadır. Windows sistemlerle
beraber gelir silmeye çalıştığımız zaman bile kendiliğinden tekrar
oluşmaktadır. Recycle Bin dizini
C:\$Recycle.Bin\ dizininde bulunur. Microsoft, Windows Vista sürümünden sonra
$Recycle.Bin ismiyle her bir sürücü altında yer alan bu dizin içinde silinen
dosyanın geri kurtarılmasına amaçlayan bir Windows mekanizmasıdır. Recycle Bin
kullanıcıların Windows’ta silinen dosyaları kurtarmasına olanak tanır.
Forensic bakış açısı ile mahsum dediğimiz dosyaya
baktığımız bizler içinde o kadar bilgi tutuğundan çokta mahsun diyemeyiz :) Windows
forensics analizinde bir diğer artifacklerin içerisinde barındıran local disk
içerisinde barındırıla $Recycle Bin dizinidir. Recycle bin artifackleri “C:\$Recycle.Bin” Konumlarında bulunur.
Windows’ta $Recycle.Bin dizininde silinen dosyalar
$Ixxxxx ve $Rxxxxx şeklinde iki dosya oluşturmaktadır. Windows geri kutusu
dönüşüm (recycle bin) Adli analiz gerçekleştirilirken içerisinde barındırdığı
bilgilerden dolayı yararlı kaynak sunar. Silinen dosyalar “$I” dosyalarına ve
“$R” dosyalarına sahip olur.
$Rxxxxx şeklinde olan dosyalar, dosyası silinmiş dosyanın
yeniden adlandırılmış bir kopyasıdır. Gerçek dosyanın içeriğini içerir.
$Ixxxxx şeklinde olan dosyalar, $R dosyası için silinmiş
orijinal adı, yolu, tarihi ve zaman damgası içerir.
$Recycle Bin Analizi
Silinen dosya hakkında elde edilen bilgiler sayesinde
delil karatma ve yönteminin kullanılması durumunda arta kalan delillerin
bulunması noktasında bizlerin işini kolaylaştırmaktadır. $Reycel.bin dizininde
iki farklı türde dosya elde etmeden önce;
$I Dosyası (Windows Vista ve Sonrası)
C:\$Recycle.Bin\SID\$Ixxxxxx şeklinde tutulur,
içerisinde;
·
Dosya adı ve silinen dosyanın tam yolu
·
Silinen dosyanın boyutu
·
Dosyanın silindiği tarih/saat.
Bilgileri tutar
$R Dosyası (Windows Vista ve Sonrası)
C:\$Recycle.Bin\SID\$Rxxxxxx şeklinde tutulur.
$R Dosyası, silinen dosyanın içeriğini içerir.
SID alt klasörü, dosyayı silen kullanıcının SID'sine
karşılık gelir. Alt klasör, belirli bir kullanıcı için Geri Dönüşüm kutusuna
gönderilen bir dosyanın ilk silinmesiyle oluşturulur. $I meta-veridir, $R,
orijinal dosyanın içeriğini temsil eden gerçek kurtarma verileridir.
$recycle.Bin dizini altında yer alan dosyaları parse edip
anlamlı veriler tespit etmek için Rifiuti2, Recbin.exe, $I Parse gibi toolların yardımına ihtiyacımız
bulunmaktadır. Benim favori araçlarımdan olan $I parse aracından bu blog
yazımda bahsedeceğim.
Directory of $I Files -> bu kısma elde etmiş olduğumuz
recycle.bin dosyalarını gösteriyoru.
Output File -> bu kısma ise elde etmiş olduğumuz
dosyaları parse edip anlamlı verinin çıktısının yolunu gösteriyoruz.
Daha sonra belirlemiş olduğumuz dizine bir çıktı
sunmaktadır.
Oluşan çıktı;
Şeklinde görüntüleyebiliriz.
Bu gerçekleşen analizler geri dönüşüm kutusunda yani
Recycle Bin dizininde bulunan silinmiş dosyalar için kullanılabilir. Geri
dönüşüm kutusundan veya tamamen silinen dosyaları analiz etmek için farklı
yöntem kullanılması gerekmektedir.
Kaynak:
https://df-stream.com/recycle-bin-i-parser/
http://halilozturkci.com/adli-bilisim-windows-recycle-bin-forensics/
