Cuando un usuario borra un archivo en el explorador de Windows o “My Computer”, el archivo aparece en la Papelera de Reciclaje. Este archivo permanece allí hasta vaciar la Papelera de Reciclaje o restaurar el archivo.

Los archivos antiguos también son eliminados de la Papelera de Reciclaje cuando se borran archivos más nuevos, y la Papelera de Reciclaje excede el tamaño máximo asignado en las propiedades de esta.

Para la siguiente práctica se utilizará la imagen forense obtenida desde un disco duro en un Sistema Windows XP.

Se obtiene la disposición de las particiones de la imagen forense, para luego proceder con el montaje del sistema de archivos.

$ mmls SCHARDT.dd
$ sudo mount -o ro,loop,show_sys_files,streams_interface=windows,offset=32256 SCHARDT.dd /mnt/windows_mount2

Cada disco duro contiene una carpeta oculta de nombre “RECYCLER”. Esta carpeta contiene los archivos borrados en el Explorador de Windows, o “My Computer” o en programas basados en Windows.

Cuando se borra un archivo, la ruta completa y el nombre del archivo es almacenada en un archivo oculto de nombre “INFO2”. En esta carpeta el archivo borrado es renombrado, utilizando la siguiente sintaxis.

D[Letra de la Unidad Original del Archivo][#].[Extensión Original]

Se ingresa al directorio “RECLYLER\%SID%” de la imagen forense montada.

Al listar el directorio se encuentran cuatro archivo con extensión “.exe”. Con esta información se infiere el borrado de cuatro archivos almacenados en la unidad “C:”.

Ahora se procede a realizar el análisis al archivo “INFO2”. Este análisis se puede realizar con un editor hexadecimal conocimiento la estructura del archivo “INFO2”.

Los bytes 13 y 14 corresponden al tamaño del registro del archivo 2030h, pero como está en formato "Little Endian" se lee 0320h, lo cual equivale a 800 en decimal.

Desde el byte 17 hasta el 816 inicia el primer registro. El registro inicia con 4 Bytes a la izquierda de la información sobre la unidad, ruta, y nombre del archivo: C:\Documents and Settings\Mr. Evil\Desktop\lalsetup250.exe. Cada Registro es formateado en representaciones ASCII y UNICODE para la información original de la ubicación del archivo o carpeta borrada dentro de cada registro.

Los bytes desde el 265 al 268: 01000000h o 00000001h representa el número del registro, que en decimal es el número 1. Desde aquí en adelante las ubicaciones se calculan desde el inicio del registro, no desde el inicio del archivo INFO2.

Los bytes desde el 269 al 272: 02000000h o 00000002h representa la Unidad, 02 = C, 03 = D, 04 = E, etc. Para este caso, el valor 02h indica la unidad “C:”.

Los bytes desde el 273 al 280: 5008E525BF8AC401h o 01C48ABF25E50850h representa el tiempo de borrado del archivo en formato FILETIME. El cual es Wed Aug 25 16:18:25 2004.

Los bytes desde el 281 al 284: 00F62000h o 0020F600h representa el tamaño físico del archivo borrado, en decimal es 2160128.

Para corroborar los resultados obtenidos de manera manual se utilizará la herramienta Rifiuti. Rifiuti permite examinar el contenido del archivo INFO2 en una Papelera de Reciclaje. Esta información será interpretada y el resultado presentado en forma de campos delimitados, para poder ser visualizados con un programa gestor de hojas de calculo.

Utilizando Wine se procede a ejecutar Rifiuti dentro de la máquina virtual SIFT

$ wine rifiuti.exe INFO2

Fuentes:

http://support.microsoft.com/kb/136517
http://www.csisite.net/INFO2.htm
http://www.csisite.net/downloads/INFO2.pdf
http://www.mcafee.com/us/downloads/free-tools/rifiuti.aspx
http://www.winehq.org/