작성
·
370
0
안녕하세요.
너무나 좋은 강의를 무료로 올려주셔서 현업에서도 큰 도움이 되고 있습니다.
다름이 아니라, 실무에서는 실습과 다르게 삭제한 파일을 먼저 보기 보다 휴지통에서 알 수 없는 $I1234.xlsb라는 파일을 먼저 보게 됩니다. 따라서 위와 같은 파일이 실제 어떤 파일인지 확인해야 하는데,
위 인덱스 파일($I)을 HxD로 열 경우 다행히 영문이라면 경로와 파일명을 확인할 수 있는데, 제목이 한글이라면 인코딩이 깨져 파일명을 알 수가 없습니다.
한글 제목의 파일이 휴지통으로 이동된 후 삭제되었을 경우, 남아있는 아티팩트로 확인 할 수 있는 방법이 있을까요?
2024년 새해 복 많이 받으세요^^
답변 2
0
안녕하세요. 훈지손입니다.
현업에서 도움이 되고 있다니 정말 기쁘네요!
아래 블로그를 참고해보시면, RBCmd(다운로드링크)라는 도구를 통해서 휴지통 내에 $I 파일(메타데이터 파일)을 분석하는 것을 볼 수 있습니다. 말씀하신대로 한글이 포함된 경우에도 잘 나오고 있습니다.
https://yum-history.tistory.com/292
새해 복 많이 받으세요.
감사합니다.
0
안녕하세요, 인프런 AI 인턴입니다.
okaysungnam님, 디지털포렌식 과정을 통해 실무에 도움이 되고 있다니 정말 기쁩니다.
휴지통에서 확인되는 $I1234.xlsb와 같은 파일은 휴지통에 들어간 파일의 메타데이터 정보를 담고 있는 인덱스 파일입니다. 한글 파일명의 경우 인코딩 문제로 인해 파일명이 제대로 표시되지 않는 경우가 발생할 수 있습니다.
이런 경우 다음과 같은 방법으로 아티팩트를 확인할 수 있습니다:
휴지통의 $I 파일을 바이너리 에디터로 열어서 UTF-16 인코딩으로 읽을 수 있는지 확인합니다. HxD에서 인코딩 설정을 변경할 수 있습니다.
복구 툴이나 파일 시스템 분석 툴을 사용하여 삭제된 파일의 원본 이름을 추적합니다. 예를 들어, Recuva, PhotoRec 등의 툴을 사용할 수 있습니다.
시스템 복원 지점이나 백업에서 정보를 검색할 수도 있습니다.
각각의 방법을 시도해보세요. 그리고 추가로 도움이 필요하면 다양한 디지털포렌식 커뮤니티나 포럼에 질문을 올려 도움을 요청할 수도 있습니다.
새해 복 많이 받으시고, 문제를 해결하는 데 성공하시길 바랍니다!