SMALL
30. How many files are actually reported to be deleted by the file system?
( 파일 시스템에서 실제로 몇 개의 파일이 삭제되었다고보고됩니까?)
먼저 휴지통에 있던 INFO2에 대해 공부를 해보았다.
INFO2가 무엇이냐?
Vista 이전 버전에서 휴지통의 삭제된 파일들의 정보를 관리하기 위한 목적의 파일이다.
기본적으로 INFO2 파일은 다음의 내용을 포함한다고 한다.
- 원본 파일 경로 및 이름 (File Record)
- 휴지통 내의 파일 식별자 (Record Number)
- 원본 파일이 위치하고 있었던 드라이브의 번호 (Drive Designator)
- 파일이 삭제된 날짜 및 시간 (File Deleted Data/Time)
- 원본 파일 크기 (Deleted File Physical Size)
다음은 각 내용의 포맷을 보여준다. INFO2 파일은 파일 하나에 모든 삭제된 파일들 정보를 유지하므로 파일 헤더 이후에 구조는 반복해서 위치한다.
INFO2 파일 분석 도구인 rifiuti2 를 통해 휴지통에 있던 INFO2를 분석해 보았다.
그렇다면 INFO2 파일의 정보를 기반으로 볼때 Dc1,2,3,4 는
- D [original drive letter of file] [index number] . [original file extension]
이므로
D는 삭제(deleted) 되었다는 것을 의미
c는 C드라이브
라는 것을 의미한다.
무튼 4개!
'Forensic > CFReDS' 카테고리의 다른 글
| Question 31 (0) | 2019.09.01 |
|---|---|
| Question 28-29 (0) | 2019.09.01 |
| Question 27 (0) | 2019.09.01 |
| Question 26 (0) | 2019.09.01 |
| Question 25 (0) | 2019.08.18 |