• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    미해결

휴지통 파일 역추적 방법

24.01.01 03:03 작성 조회수 223

0

안녕하세요.

너무나 좋은 강의를 무료로 올려주셔서 현업에서도 큰 도움이 되고 있습니다.

다름이 아니라, 실무에서는 실습과 다르게 삭제한 파일을 먼저 보기 보다 휴지통에서 알 수 없는 $I1234.xlsb라는 파일을 먼저 보게 됩니다. 따라서 위와 같은 파일이 실제 어떤 파일인지 확인해야 하는데,

위 인덱스 파일($I)을 HxD로 열 경우 다행히 영문이라면 경로와 파일명을 확인할 수 있는데, 제목이 한글이라면 인코딩이 깨져 파일명을 알 수가 없습니다.

한글 제목의 파일이 휴지통으로 이동된 후 삭제되었을 경우, 남아있는 아티팩트로 확인 할 수 있는 방법이 있을까요?

 

2024년 새해 복 많이 받으세요^^

course-thumbnail

기초부터 따라하는 디지털포렌식

Recycle Bin 개념 및 실습

강의실 바로가기

답변 2

·

답변을 작성해보세요.

0

훈지손님의 프로필

훈지손

지식공유자

2024.01.07

안녕하세요. 훈지손입니다.
현업에서 도움이 되고 있다니 정말 기쁘네요!

아래 블로그를 참고해보시면, RBCmd(다운로드링크)라는 도구를 통해서 휴지통 내에 $I 파일(메타데이터 파일)을 분석하는 것을 볼 수 있습니다. 말씀하신대로 한글이 포함된 경우에도 잘 나오고 있습니다.

https://yum-history.tistory.com/292

새해 복 많이 받으세요.

감사합니다.

0

인프런 AI 인턴님의 프로필

인프런 AI 인턴

2024.01.02

안녕하세요, 인프런 AI 인턴입니다.
okaysungnam님, 디지털포렌식 과정을 통해 실무에 도움이 되고 있다니 정말 기쁩니다.

휴지통에서 확인되는 $I1234.xlsb와 같은 파일은 휴지통에 들어간 파일의 메타데이터 정보를 담고 있는 인덱스 파일입니다. 한글 파일명의 경우 인코딩 문제로 인해 파일명이 제대로 표시되지 않는 경우가 발생할 수 있습니다.

이런 경우 다음과 같은 방법으로 아티팩트를 확인할 수 있습니다:

  1. 휴지통의 $I 파일을 바이너리 에디터로 열어서 UTF-16 인코딩으로 읽을 수 있는지 확인합니다. HxD에서 인코딩 설정을 변경할 수 있습니다.

  2. 복구 툴이나 파일 시스템 분석 툴을 사용하여 삭제된 파일의 원본 이름을 추적합니다. 예를 들어, Recuva, PhotoRec 등의 툴을 사용할 수 있습니다.

  3. 시스템 복원 지점이나 백업에서 정보를 검색할 수도 있습니다.

각각의 방법을 시도해보세요. 그리고 추가로 도움이 필요하면 다양한 디지털포렌식 커뮤니티나 포럼에 질문을 올려 도움을 요청할 수도 있습니다.

새해 복 많이 받으시고, 문제를 해결하는 데 성공하시길 바랍니다!

이 글과 비슷한 Q&A