Dijital çöp kutusu dalışı: Geri dönüşüm kutusu adli tıpının inceliklerini keşfetmek


[ This article was originally published here ]

Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.

Dijital araştırmaların uçsuz bucaksız dünyasında, geri dönüşüm kutusu adli tıp olarak bilinen büyüleyici bir teknik var. Bu büyüleyici alanın derinliklerine inmek, silinmiş gibi görünen dosyaların hala sırlarını açığa çıkarabildiği, dijital dedektiflerin kullanıcı etkinliklerini yeniden yapılandırmasına ve değerli bilgileri ortaya çıkarmasına olanak tanıyan bir dünyayı gözler önüne seriyor. Öyleyse, geri dönüşüm kutusu adli biliminin gizemini çözmek ve siber güvenlik alanındaki rolünü anlamak için bir yolculuğa çıkalım.

Geri dönüşüm kutusu adli tıp, geri dönüşüm kutusundan veya çöp kutusu klasöründen silinen dosyaların alınmasına ve analizine odaklanan özel bir dijital adli tıp dalıdır. Bu merak uyandıran teknik, bir hazine hazinesinin kilidini açma, siber suçlara ışık tutma ve soruşturma sürecine yardımcı olma potansiyeline sahiptir.

Geri dönüşüm kutusu adli tıpının inceliklerini anlamak için, geri dönüşüm kutusunun nasıl çalıştığını anlamak önemlidir.

Bilgisayarınızdaki bir dosyayı sildiğinizde, genellikle geri dönüşüm kutusuna veya çöp kutusu klasörüne giden yolu bulur. Yanlışlıkla silinen dosyaları basit bir tıklamayla kurtarmanıza olanak tanıyan kullanışlı bir özelliktir. Ancak geri dönüşüm kutusunu boşalttıktan sonra bile bu dosyaların izlerinin sisteminizde kalabileceğini biliyor muydunuz?

Dijital dedektiflerin değerli bilgileri ortaya çıkarabileceği ve bir kullanıcının faaliyetlerine ışık tutabileceği büyüleyici geri dönüşüm kutusu adli tıp dünyasına hoş geldiniz.

Silinen dosyaların konumu

C:GERİ DÖNÜŞÜMLÜ Win 95/98/Me

C:RECYCLER Win NT/2000/ XP

C:$Recycle.bin Vista ve sonraki sürümleri kazanın

Meta veri dosyası

BİLGİ2(95/98/Me Kazan)

C:RECYCLERSID*INFO2 (Win NT/2000/XP) (SID, güvenlik tanımlayıcısını belirtir)

Windows Vista ve sonrası

C:Recycle.binSID*$I******(Meta Verileri İçerir)

C:Recycle.binSID*$R******(Silinen dosyanın içeriği)

Her iki dosya da rastgele 6 karakterlik bir değerle yeniden adlandırılacaktır. Bu dizinler varsayılan olarak gizlidir; ancak, Windows sisteminizde yükseltilmiş ayrıcalıklarla (Yönetici olarak çalıştır) komut istemini kullanarak bunlara erişebilirsiniz. söylemek.

Geri dönüşüm kutusu adli tıp, dijital soruşturmalarda kritik bir rol üstlenerek kolluk kuvvetlerinin, siber güvenlik uzmanlarının ve adli analistlerin bulmacayı bir araya getirmesini sağlar. Adli tıp uzmanları, silinen dosyaları analiz ederek olayların bir zaman çizelgesini yeniden oluşturabilir, hayati kanıtları ortaya çıkarabilir ve kayıp gibi görünen verileri kurtararak adaletin aranmasına yardımcı olabilir.

Geri dönüşüm kutusunda gizlenen sırları açığa çıkarmak, özel araçlar ve teknikler gerektirir. Adli yazılım, araştırmacılara geri dönüşüm kutusu boşaltıldıktan sonra bile silinen dosyaları çıkarma yetkisi verir. Dijital dedektifler, dosya meta verilerinin, yollarının ve içeriğinin dikkatli bir şekilde analiz edilmesi yoluyla dosya kökenleri, değişiklikler ve silme işlemleri hakkında içgörüler elde edebilir ve kullanıcının etkinliklerinin daha net bir resmini çizebilir.

Kullanacağımız böyle bir yardımcı program, indirilebilen $IPARSE’dir.

Silinen bir dosyayla ($I****** dosyası) ilgili meta verileri bulma adımları

  • Komut istemini yönetici olarak çalıştır

yönetici olarak komut istemi

komut satırında cd

  • bundan sonra komutu kullanın söylemek ve $RECYCLE.BIN dizinini görüp göremediğinizi kontrol edin.

sen geri dönüştür

  • dizinin içine gitmek ve komutu kullanmak için cd $RECYCLE.BIN söylemek

şimdi dizin listesinde S ile başlayan birden fazla giriş göreceksiniz.

geridönüşüm kutusu

SID dizinleriyle ilişkili kullanıcıları kontrol etmek için komutu kullanabilirsiniz. wmic kullanıcı hesabı adı al, sid

SID dizinleri

SID’lerle ilişkili tüm kullanıcıları listeleyecektir. Bundan sonra, ctrl C’yi seçip kullanarak herhangi bir SID’yi kopyalayın (SID’nin ilk birkaç karakterini yazdıktan sonra SID’yi otomatik tamamlamak için sekme tuşunu da kullanabilirsiniz).

Şimdi, SID dizinine geçmek için:

cd SID (kopyalanan değeri yapıştırın)

örneğin, SID dizini adı S-1-5-32 ise

bundan sonra bu dizinin bileşenlerini listelemek için dir /a komutunu kullanın, $I ve $R dosyalarını göreceksiniz. Bazı durumlarda, yalnızca $I****** dosyası mevcut olacaktır.

Gösterim amacıyla, diğer sistemlerden alınan dosyaları kullanıyoruz.

sürücü d dosyaları

  • Şimdi bir klasör oluşturun ve dosyayı kopyalamak için bir yol verin. Sözdizimi dosya adı “yol” ($IABTIOW.doc “D:DesktopTest filesi filesTESTOutput”) olacaktır, alternatif olarak copy komutunu da kullanabilirsiniz.

test dosyaları

  • Dosya/klasör adını (söz konusu dizinin içindeyken) kopyalayın ve yola (söz konusu dosya veya klasörü kopyalamak istediğiniz yere) kopyalayın. Yol, klasöre gidip adres çubuğuna tıklayarak kopyalanabilir – dosyanız kopyalanacak ve ilgili yazılım onu ​​açmaya çalışacak, ancak açamayacak (png/jpeg dosyaları için fotoğraf uygulaması gibi)

test dosyaları açılmıyor

  • İndirdiğiniz $Iparse yardımcı programını çıkartın ve çalıştırın. $I dosyalarını kopyaladığınız dizine/klasöre göz atın. Şimdi, sonuç dosyasını koymak istediğiniz dizine göz atın ve bir dosya adı girin.

$iparse aracı

Kaydet’e tıklayın. Bundan sonra, aşağıdaki gibi bir arayüz görebilmeniz gerekir:

$iparse çıktısı

Ardından ayrıştır’ı tıklayın. Başarılı bir şekilde ayrıştırdıysa, dosyayı sizin için görüntüler – çıktı dosyası .tsv biçiminde olacaktır. .tsv dosyasını notepad veya notepad++ ile açabilirsiniz. Şimdi, söz konusu $I dosyasına ilişkin ayrıntıları görebileceksiniz.

Geri dönüşüm kutusu adli tıp güçlü bir araç olsa da, zorlukları ve sınırlamaları da vardır. Zaman ilerledikçe ve yeni dosyalar oluşturulup silindikçe, geri dönüşüm kutusundaki eski kalıntıların üzerine yazılabilir, bu da bazı silinen dosyaların kurtarılmasını daha zor ve hatta imkansız hale getirir. Ek olarak, geri dönüşüm kutusu adli incelemesinin etkinliği, kullanılan işletim sistemi ve dosya sistemine bağlı olarak değişebilir ve benzersiz engeller sunar.

Hassas bilgileri korumak ve geri dönüşüm kutusu adli tıp yoluyla potansiyel kurtarmayı engellemek için güvenli veri silme uygulamalarının uygulanması hayati önem taşır. Yalnızca geri dönüşüm kutusunu boşaltmak kalıcı silme garantisi vermez. Bunun yerine, özel dosya parçalama veya disk silme araçlarının kullanılması, silinen verilerin güvenli bir şekilde üzerine yazılmasını ve geri alınamaz hale getirilmesini sağlayabilir.

Sonuç olarak, geri dönüşüm kutusu adli bilimi, silinen dosyaların gizli kalan kalıntılarını ortaya çıkaran, araştırmaları dönüştürme potansiyeline sahip, dikkate değer bir alandır. Dijital ortamda gezinirken, geri dönüşüm kutusu adli tıpının gücünü anlamak, bize dijital ayak izimizi korumanın önemini hatırlatıyor. Bilgi, özen ve güvenli uygulamalar sayesinde hassas bilgilerimizi koruyabilir ve herkesin yararına siber güvenlik alanını güçlendirebiliriz.

reklam



Source link