Digitale Forensik: Artefakt-Profil – Papierkorb
ANWENDUNGSNAME: Papierkorb
KATEGORIE: Betriebssystem
ÄHNLICHE ARTEFAKTE: Kein
BETRIEBSSYSTEME: Windows
SPEICHERORT DER QUELLE:
Windows XP – %ROOT%\Recycler\%SID%\
Windows Vista+ – %ROOT%\$Recycle.Bin\%SID%\
Wichtigkeit für Ermittler
Der Windows-Papierkorb enthält Dateien, die vom User gelöscht, aber noch nicht vom System eliminiert wurden. Nutzer können den Papierkorb zwar ziemlich leicht leeren, doch für einen Ermittler ist er trotzdem eine wertvolle Beweisquelle.
Je nach Windows-Version werden die Beweise aus dem Papierkorb auf zwei Arten gespeichert. In Windows XP werden die Dateien im „Recycler“-Ordner unter der spezifischen SID des Nutzers gespeichert. Es gibt außerdem eine INFO2-Datei, die einen Index aller Dateien beinhaltet, die gelöscht wurden, auch einige Metadaten der recycelten Dateien. Die INFO2-Datei enthält den ursprünglichen Pfad, die Dateigröße und wann die Datei gelöscht wurde.
In Windows Vista+ werden die Daten weiterhin unter der SID des Nutzers gespeichert, doch der Überordner heißt jetzt „$Recycle.Bin“. Windows nutzt die INFO2-Datei nicht mehr, und wenn eine Datei gelöscht wird, werden zwei Dateien im Papierkorb erstellt. Die erste Datei beginnt mit dem Wert „$R“, gefolgt von einem zufälligen String – diese Datei enthält den tatsächlichen Inhalt der recycelten Datei. Die zweite Datei beginnt mit „$I“ und endet auf den selben String wie die „$R“-Datei – diese Datei enthält die Metadaten für diese spezifische Datei (bis auf die INFO2-Datei, die die Metadaten für jede Datei im Papierkorb enthielt). Die „$I“-Datei enthält den ursprünglichen Dateinamen, Pfad, die Dateigröße und wann die Datei gelöscht wurde.
Papierkorb-Wiederherstellung mit Magnet Forensics
Die Tools von Magnet Forensics stellen Artefakte aus dem Windows-Papierkorb für Windows XP, Vista, 7 und 8 wieder her. Sie listen Dateinamen, Löschdatum der Datei (in UTC), Namen des Nutzers und SID, ursprünglichen Pfad, Dateigröße und den aktuellen Speicherort auf und zeigen an, ob es sich um eine Datei oder ein Verzeichnis handelt. Der aktuelle Speicherort-Wert hilft Ermittlern, herauszufinden, ob die tatsächliche Datei gelöscht wurde oder das übergeordnete Verzeichnis.