휴지통 파일 역추적 방법
562
작성한 질문수 3
안녕하세요.
너무나 좋은 강의를 무료로 올려주셔서 현업에서도 큰 도움이 되고 있습니다.
다름이 아니라, 실무에서는 실습과 다르게 삭제한 파일을 먼저 보기 보다 휴지통에서 알 수 없는 $I1234.xlsb라는 파일을 먼저 보게 됩니다. 따라서 위와 같은 파일이 실제 어떤 파일인지 확인해야 하는데,
위 인덱스 파일($I)을 HxD로 열 경우 다행히 영문이라면 경로와 파일명을 확인할 수 있는데, 제목이 한글이라면 인코딩이 깨져 파일명을 알 수가 없습니다.
한글 제목의 파일이 휴지통으로 이동된 후 삭제되었을 경우, 남아있는 아티팩트로 확인 할 수 있는 방법이 있을까요?
2024년 새해 복 많이 받으세요^^
답변 2
0
안녕하세요. 훈지손입니다.
현업에서 도움이 되고 있다니 정말 기쁘네요!
아래 블로그를 참고해보시면, RBCmd(다운로드링크)라는 도구를 통해서 휴지통 내에 $I 파일(메타데이터 파일)을 분석하는 것을 볼 수 있습니다. 말씀하신대로 한글이 포함된 경우에도 잘 나오고 있습니다.
https://yum-history.tistory.com/292
새해 복 많이 받으세요.
감사합니다.
0
안녕하세요, 인프런 AI 인턴입니다.
okaysungnam님, 디지털포렌식 과정을 통해 실무에 도움이 되고 있다니 정말 기쁩니다.
휴지통에서 확인되는 $I1234.xlsb와 같은 파일은 휴지통에 들어간 파일의 메타데이터 정보를 담고 있는 인덱스 파일입니다. 한글 파일명의 경우 인코딩 문제로 인해 파일명이 제대로 표시되지 않는 경우가 발생할 수 있습니다.
이런 경우 다음과 같은 방법으로 아티팩트를 확인할 수 있습니다:
휴지통의 $I 파일을 바이너리 에디터로 열어서 UTF-16 인코딩으로 읽을 수 있는지 확인합니다. HxD에서 인코딩 설정을 변경할 수 있습니다.
복구 툴이나 파일 시스템 분석 툴을 사용하여 삭제된 파일의 원본 이름을 추적합니다. 예를 들어, Recuva, PhotoRec 등의 툴을 사용할 수 있습니다.
시스템 복원 지점이나 백업에서 정보를 검색할 수도 있습니다.
각각의 방법을 시도해보세요. 그리고 추가로 도움이 필요하면 다양한 디지털포렌식 커뮤니티나 포럼에 질문을 올려 도움을 요청할 수도 있습니다.
새해 복 많이 받으시고, 문제를 해결하는 데 성공하시길 바랍니다!
맥북사용
0
61
0
FTK imager블루스크린
0
93
1
strings_1640.log
0
70
1
ftk imager 다운로드 막힘
0
271
1
strings
1
104
2
필요한 용량과 맥북 윈도우 설치방법
0
133
1
이 강의를 들으면 휴대폰 복구도 할 수 있나여?
0
329
1
FTK Imager에서 dll이 없다고 실행이안됩니다
0
169
1
FTK Imager 앱 사용방법
0
364
1
FTK root 파일리스트 export files 비활성화
0
160
0
ftk imager 설치
0
572
1
6강 디스크 이미징 질문입니다.
0
224
2
.img .dat 파일 형식 질문
0
240
2
USB.001 파일 다운 문제
0
436
2
삼성 보안 폴더 삭제
0
669
2
FTK imager 오류
0
440
2
FTK 설치 질문
0
288
1
맥북과 윈도우 노트북 질문
0
322
1
Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다.
1
905
3
USB.001 파일이 다운이 안됩니다.
0
467
2
FTK Imager 용량 줄이는 방법
0
505
2
해당 강의를 기반으로 네이버 블로그에 정리를 해도 될까요?
0
419
2
autopsy다운로드 error메세지
0
386
2
Windows 11에 추가, 변경된 아티팩트가 있어서 공유합니다.
0
534
2