Criminalistique numérique : Profil d’artéfact – Corbeille
NOM DE L’APPLICATION : Corbeille
CATÉGORIE : Système d’exploitation
ARTÉFACTS CONNEXES : Aucun
SYSTÈMES D’EXPLOITATION : Windows
EMPLACEMENT DE LA SOURCE :
Windows XP – %ROOT%\Recycler\%SID%\
Windows Vista+ – %ROOT%\$Recycle.Bin\%SID%\
Importance pour les enquêteurs
La corbeille Windows contient des fichiers qui ont été supprimés par l’utilisateur, mais pas encore purgés du système. Tandis que les utilisateurs peuvent vider la corbeille assez facilement, il s’agit tout de même d’une précieuse source de preuve pour un examinateur.
En fonction de la version de Windows, les preuves de la corbeille sont stockées de deux façons différentes. Pour Windows XP, les fichiers sont stockés dans le dossier « Recycler ». Il existe également un fichier INFO2 qui contient un index de tous les fichiers qui ont été supprimés, ainsi que certaines métadonnées relatives aux fichiers de la corbeille. Le fichier INFO2 contiendra le chemin d’accès d’origine, la taille du fichier et le moment où le fichier a été supprimé.
Pour Windows Vista+, les données sont toujours stockées sous le SID de l’utilisateur, mais le dossier parent s’appelle maintenant « $Recycle.Bin ». Windows n’utilise plus le fichier INFO2 et, lorsqu’un fichier est supprimé, deux fichiers sont créés dans la corbeille. Le premier fichier commence par la valeur « $R » suivie d’une chaîne aléatoire – ce fichier possède le contenu réel du fichier de la corbeille. Le second fichier commence par « $I » et se termine par la même chaîne que le fichier « $R » – ce fichier contient les métadonnées pour ce fichier spécifique (contrairement au fichier INFO2 qui contenait les métadonnées pour chaque fichier de la corbeille). Le fichier « $I » contient le nom de fichier d’origine, le chemin d’accès, la taille du fichier et le moment où le fichier a été supprimé.
Récupération dans la corbeille avec Magnet Forensics
Les outils Magnet Forensics récupèreront des artéfacts dans la corbeille Windows pour Windows XP, Vista, 7 et 8. Ils indiqueront le nom de fichier, la data à laquelle le fichier a été supprimé (avec le fuseau horaire UTC), le nom et le SID de l’utilisateur, le chemin d’accès d’origine, la taille du fichier, l’emplacement actuel, en précisant également s’il s’agit d’un fichier ou d’un répertoire. La valeur de l’emplacement actuel aidera les enquêteurs à savoir si le fichier supprimé est un fichier réel ou le répertoire parent.