Windows Vista/7 Recycle.bin 분석

저번 NT/XP/2K 버젼의 Recycler 분석에 이어, windows vista/7의 Recycler에 대해 알아보도록 하겠습니다.

Windows vista/7 의 버젼과 그 이전 버젼들을 비교하여 가장 쉽게 겉으로 보이는 특징들을 말해보자면 두 가지 정도가 있습니다.

 첫 번째로, 시스템 폴더의 이름이 바뀌었다는 것.. Recycler에서 Recycle.bin으로 재명명되었습니다.

두 번째 특징은 INFO2 레코드를 사용하지 않고 대신에 $I~형식의 파일을 사용해서 정보를 기록하는데, 이는 밑에서 더 자세히 알아보겠습니다.

OS	INFO2 Record Length	System Folder	File System
Windows 95/98/ME	800 Bytes	C:\Recycled	FAT32
Windows NT/2K/XP	800 Bytes	C:\Recycler\[UserSID]	NTFS
Windows Vista/7	Not used.	C:\$Recycle.bin\[UserSID]	NTFS

[Windows Recycler]

파일이 삭제가 되면 이전에는 D[volume][index].[file extension] 형식으로 간단히 저장이 되었지만
vista 이후 버젼부턴 조금 달라집니다.

[그림 1] Recycle.bin 내부의 $R~ 파일들

이런 식으로 삭제된 실제 파일은 $R[랜덤 문자열].[원본 확장자(없을 시, 폴더)] 파일 형식을 지니며 존재하게 되는데요.

이 파일들의 정보가 기록되어있는 파일(이전의 INFO2와 같은) 또한 따로 존재한답니다.

[그림 2] Recycle.bin 내부의 $I~ 파일들

파일이 삭제되면 파일의 메타 데이터만 삭제가 되고 실제 데이터는 삭제가 되지 않습니다.
 
그러므로, 다시 복원을 해야하는 경우 이 메타 데이터를 다시 복구를 하기 위해 vista 이후 버젼에는 $I~파일,

vista 이전 버젼에는 INFO2 파일로 관리를 해왔습니다.

INFO2와 비슷하게, $I~ 파일 내부에는 파일이 삭제된 시간, 삭제된 위치, 삭제된 파일의 크기등이 기록되어 있습니다.

Data Structure	Data Size	Data Offset Range
File Header	8Bytes	0 - 7 (0x000 - 0x007)
File Size	8Bytes	8 - 15 (0x008 - 0x00F)
File Deleted Date and Time	8Bytes	16 - 23 (0x010 - 0x017
File Name and Path (Before being Deleted)	520Bytes	24 - 543 (0x018 - 0x21F)

[$I Record Structure]

[그림 3] $I 파일에서 png파일 레코드