휴지통

휴지통 recycle bin

사람들은 휴지통으로 데이터를 보내면 두 번 다시 복구할 수 없는 데이터가 되는 줄 안다. 하지만 큰 착각이다. 파일을 삭제하면 그 파일은 그 어디로도 옮겨지는 것이 아니다. 파일 자체는 원래 있던 그 자리에 그대로 남아있게 된다. FTK나 EnCase같은 포렌식 툴을 이용하면 이러한 파일을 쉽게 원상태로 복원할 수 있다. 

http://www.neowin.net/forum/topic/448207-req-vista-recycle-bin-icons/

원하지 않는 파일을 휴지통으로 옮기는 방법에는 몇 가지가 있다. 메뉴에서 삭제할 수도 있고 단순히 휴지통으로 파일을 드래그해서 삭제할 수도 있다. 그리고 파일을 우 클릭한 후에 "삭제"메뉴를 클릭할 수도 있다. 휴지통 기능의 장점은 특정 파일을 손쉽게 복구할 수 있다는 점이다. 파일이 휴지통에 있는 한 다시 복원할 수 있다.

삭제된 파일이나 폴더가 모두 휴지통으로 옮겨지는 것은 아니다. 실제로 휴지통 자체를 거치지 않게 할 수도 있다. Shift+Delete 키를 누르면 파일이 휴지통을 거치지 않고 바로 할당되지 않은 공간으로 이동된다. 두 번째 방법은 컴퓨터 자체에서 휴지통을 사용하지 않도록 설정할 수도 있다. 레지스트리에서 "NukeOnDelete"값이 "1"로 되어 있으면 이 기능이 활성화 되어 있다는 의미다.

휴지통 속성에서 휴지통 비활성화

조사관들이 증거를 찾기 위해 처음으로 확인해야 할 곳이 휴지통이다. 용의자의 본능은 증거가 될만한 모든 데이터를 컴퓨터에서 제거하는 것이다. 휴지통은 별의별 종류의 잠재적 증거 파일을 찾기에 딱 좋은 곳이다.

휴지통 삭제 복구에 대한 문서

recycler_bin_record_reconstruction.pdf

출처

• 이제 시작이야 디지털 포렌식