eCDFP (Module-6) (Window Forensics) (Part - 6)

 Recycle Bin Forensics 

Computer မှာ File ဖျက်တဲ့အခါမှာ Shift + Delete နှိပ်ပြီး Recycle Bin ထဲရောက် တာကိုရှောင်ရှားနိုင်ပေမဲ့ User က အမှတ်တမဲ့နဲ့ Shift + Delete မနှိပ်ပဲ Recycle Bin ထဲကို ဖျက်လိုက်တဲ့အခါ File က Recycle Bin ထဲ ရောက်ရှိနေနိုင်ပါတယ်။ Shift + Delete နှိပ်ပြီးဖျက်လိုက်တဲ့ Data တွေကို ပြန်လိုချင်တယ်ဆိုရင်  File System, Storage Level အပိုင်းဖြစ်ပါတယ်။ Recycle Bin က Window မှာရှိတဲ့ User တိုင်းအတွက် Recycle Bin တစ်ခုစီရှိပါတယ်။ User A  အတွက် သီးသန့် Recycle Bin, User B အတွက် သီးသန့် Recycle Bin ဆိုပြီးစသည်ဖြင့်ရှိပါတယ်။ $Recycle.Bin Directory  က User မမြင်ရအောင် Hidden  ဖြစ်နေပါတယ်။ User တစ်ယောက်ဖျက်ထားတာကို အခြား  User တစ်ယောက်ဘက်ကနေ မမြင်ရပဲ လက်ရှိ Recycle Bin ကိုလက်ရှိ User ကနေပဲမြင်ရမှာဖြစ်ပါတယ်။

$Recycle.Bin Directory  က User မမြင်ရအောင် Hidden  ဖြစ်နေတဲ့အတွက် CMD ကနေ အောက်ပါအတိုင်းကြည့်ကြည့်ပါမယ်။ Window မှာရှိတဲ့ Username & SID ကိုကြည့်ဖို့အတွက် 

“ wmic useraccount get name, sid “ Command ကိုအသုံးပြုပါမယ်။

User Name & SID 

C Drive ကိုသွားပြီး dir /a command နဲ့ $Recycle.Bin ထဲကနေ User SID အလိုက် Recycle Data တွေကိုကြည့်နိုင်ပါတယ်။ User ကနေ Delete လုပ်လိုက်လို့ Recycle.Bin ထဲကိုရောက်သွားတဲ့အခါမှာ $I နဲ့ $R ဆိုပြီး နှစ်ခုကွဲသွားပါတယ်။ Recycle Bin ထဲရောက်တာနဲ့ $I နဲ့ $R နောက်ကနေ Random Character 6 လုံးကို Operation System ကနေ ထပ်ပေါင်းပေးလိုက်ပါတယ်။

\$Recycle.Bin\User SID\$I######.File Extension

\$Recycle.Bin\User SID\$R######.File Extension

 Desktop ကနေ Recycle Bin ကိုဖွင့်ကြည့်ရင် မြင်ရတာက $I $R နှစ်ခုပေါင်းထားတာဖြစ်ပါတယ်။

 $I မှာဘာတွေပါလဲဆိုရင်

•  File or Folder ကို ဖျက်လိုက်တဲ့အချိန်
• အဖျက်ခံရတဲ့ File or Folder ရဲ့ Original Location / File Path/ File  Extension

$R မှာ ဘာတွေပါလဲဆိုရင်

• File or Folder ရဲ့ Original Data
• File or Folder ရဲ့ Original MAC Time
• Original File or Folder ရဲ့ Same File Size and Same Extension

$Recycle.Bin Location

$Recycle.Bin With User’s SID

$Recycle.Bin  With Specific SID

$Recycle.Bin With FTK Imager

Recycle Bin Analysis With RBCmd

EZ Tools ထဲက RBCmd ကိုအသုံးပြုပြီး Recycle Bin ကို Analysis ပြုလုပ်ထားတာဖြစ်ပါတယ်။Output ကို CSV File Type အနေနဲ့ထုတ်ထားပါတယ်။ $I & $R File 2 ခုလုံးရှိရင် File က Recycle Bin ထဲမှာရှိနေတာဖြစ်ပါတယ်။ တစ်ကယ်လို့ $I ပဲရှိပြီး $R မရှိဘူးဆိုရင် File ကို Recycle Bin ထဲကနေ Restore ပြန်လုပ်ထားတာဖြစ်ပါတယ်။

Cleaning Recycle Bin, System Restart, and Analysis Again: $Recycle.Bin Directory Still Appear Some $I Files.

Recycle Bin ကို Clean & System Restart လုပ်ပြီးနောက် Empty ဖြစ်နေတဲ့ $Recycle.Bin ကို နောက်တစ်ခါ Analysis ပြုလုပ်တဲ့အခါမှာ $I File တွေကိုတွေ့ရမှာဖြစ်ပါတယ်။ Recycle Bin ကို Clean ပြုလုပ်တာက $I နဲ့ပတ်သတ်တဲ့အချက်အလက်တွေကို အကုန်မပျက်နိုင်တာတွေ့ရမှာဖြစ်ပါတယ်။