이전에 휴지통 파일에 관해서 비교적 자세히 분석해 보았다.
http://forensic-proof.com/archives/288
휴지통은 Windows NT/2K/XP 라면 INFO2 파일을 통해 삭제된 파일의 정보를 남긴다. 파일을 삭제하게 되면 자신이 이전에 위치하였던 directory entry(FAT), MFT etnry(NTFS) 를 삭제하고 새롭게 휴지통 폴더 밑에 특정 규칙의 이름으로 파일이 생성된다. 이 파일들은 사용자에 의해 복구될 수 있기 때문에 원본 파일이름, 위치 등의 정보 등을 유지하고 있어야 한다.
INFO2 파일은 삭제된 파일의 이러한 정보를 유지하고 있는 파일이다. 하지만 이 파일도 휴지통 비우기를 하면 이전의 내용을 지워버린다. 지워진 INFO2 파일은 기본적인 헤더 정보와 내용을 가지는 20 Bytes 크기의 파일로 파일 크기가 줄어든다. 그럼 이 파일로 무얼 할 수 있을까?
INFO2 파일은 휴지통 비우기 시 파일을 지우고 새롭게 생성하는 것이 아니라 단순히 파일 크기만 줄이게 된다. 따라서, 만약 클러스터 크기가 4,096 Bytes(4KB) 인 파일시스템이라면 4,076 Bytes 의 파일 슬랙(File Slack)에 이전의 삭제되었던 파일 정보가 남아있게 된다.
물론, 삭제한 파일이 많아 4KB 보다 더 많은 영역을 사용하였다면 운이 좋은 경우 나머지 클러스터 조각을 뒷 부분에서 쉽게 찾아 볼수도 있겠지만 그렇지 않은 경우는 4KB의 정보만 얻을 수 있을 것이다. 4KB 정보가 우습게 보일지 모르지만 각 파일의 엔트리 정보를 유지하는데 800 Bytes를 사용하므로 5 개의 파일 정보를 얻을 수 있다.
혹자는 5개도 적다고 느껴질 수 있지만 용의자가 급하게 파일의 은폐를 위해 파일을 지운 후 휴지통 비우기를 했다면 이 파일은 다른 어떤 파일보다도 우선 수사 대상이 될 수 있을 것이다.
다음은 휴지통 비우기를 한 후 INFO2 파일의 파일 슬랙의 내용을 살펴본 것이다. 앞의 음영 부분이 20 Bytes 영역이고 나머지 붉은 색의 영역이 파일슬랙에 해당한다.
