Forense a la Papelera de Reciclaje en Windows 7
Cuando un archivo es borrado en un Sistema Operativo Microsoft este sigue existiendo en la computadora. Este está oculto en una ubicación conocida como la Papelera de Reciclaje. El archivo se mantiene dentro de esta ubicación hasta ser limpiada por el usuario.
En Windows 7 se utiliza un nuevo formato para la papelera de reciclaje, la cual está ubicada en un directorio oculto de nombre “\$Recycle.Bin\%SID%”, donde “%SID%” es el SID (Security IDentifier) o Identificador de Seguridad del usuario causante del borrado de los archivos.
Cuando un archivo se movió dentro de la Papelera de Reciclaje, el archivo original es renombrado con $R seguido por un conjunto de caracteres aleatorios, pero manteniendo la extensión original del archivo. Al mismo tiempo se crea un nuevo archivo iniciando con $I seguido por el mismo conjunto de caracteres aleatorios asignado al archivo $R con la misma extensión. Este archivo contiene la ruta y el nombre de archivo original, el tamaño del archivo, además de la hora y fecha en la cual se movió el archivo hacia la Papelera de Reciclaje.
Se procede a abrir con un editor hexadecimal de nombre “Bless Hex Editor” para iniciar el análisis del el archivo $I.
Los bytes del 0 hasta el 7 corresponden a la cabecera del archivo $I, el cual siempre está definido a un 01 seguido por un conjunto de siete 00.
Los bytes del 8 hasta el 15, representan el tamaño del archivo original, almacenado en hexadecimal en “little endian”. En "little endian" se almacena el byte menos significativo en las direcciones más pequeñas. Por lo tanto para convertir este valor hexadecimal hacia su valor en decimal se hace necesario invertir en primera instancia este valor hexadecimal de “0B 00 00 00 00 00 00 00” hacia “00 00 00 00 00 00 00 0B”, el cual en decimal representa al número 11. Es decir el tamaño del archivo borrado es de 11 Bytes.
Los bytes del 16 hasta el 23 representan le fecha y hora del borrado, representado en el número de segundos transcurridos desde el 1ero de Enero del año 1601.
Para convertir de manera sencilla este código hexadecimal, es factible utilizar la herramienta de nombre Dcode, la cual permite decodificar este valor hexadecimal directamente desde “little endian”, con lo cual no hay necesidad previa de realizar la inversión de códigos. Ingresado el valor en el campo de nombre “Value to Decode” o Valor a Decodificar se hace clic en el botón de nombre “Decode”o Decodificar, luego de lo cual la fecha y hora de borrado se exponen en el campo de nombre “Date & Time:” o “Fecha & Hora”.
Desde el Byte 24 en adelante se localiza el resto de la información sobre el archivo, como la ruta completa y el nombre del archivo borrado. Los caracteres ASCII están espaciados por bytes nulos entre ellos. Todo lo restante del archivo es rellenado con bytes “nulos” hasta alcanzar los 544 bytes de longitud.
Mencionar adicionalmente que el comportamiento es un poco diferente cuando se mueve un directorio hacia la Papelera de Reciclaje. El nombre del directorio es renombrado con $R seguido por un conjunto de caracteres aleatorios, pero los archivos y directorios bajo este directorio mantienen sus nombres originales. Se crea un archivo $I igual que al borrar un archivo individual el cual contiene el nombre del directorio original, la fecha y hora de borrado, y el tamaño.
Fuentes:
http://www.reydes.com/d/?q=Forense_a_la_Papelera_de_Reciclaje_en_Windows_XP
http://dereknewton.com/2010/06/recycle-bin-forensics-in-windows-7-and-vi...
http://www.forensicfocus.com/forensic-analysis-vista-recycle-bin
http://lowmanio.co.uk/blog/entries/windows-7-recycle-bin-forensics/
http://www.cs.umd.edu/class/sum2003/cmsc311/Notes/Data/endian.html
http://www.digital-detective.net/digital-forensic-software/free-tools/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/