Windows-Papierkorb

Aus IT-Forensik Wiki

Windows-Papierkorb

In jedem Windows Betriebssystem gibt es das spezielle Verzeichnis “Windows-Papierkorb”. Wenn ein Benutzer eine Datei löscht, wird diese zunächst in diesen Papierkorb verschoben und ist im Dateisystem noch vorhanden. Der Benutzer kann durch Zugriff über den Windows-Explorer auf diese Dateien zugreifen und diese ggf. wiederherstellen.

Bei dem Verzeichnis “Papierkorb” handelt es sich um ein Systemverzeichnis, das in den Standardeinstellungen des Windows Explorers ausgeblendet ist. Auf jeder Partition befindet sich das Verzeichnis für die jeweils auf dieser Partition gelöschten Dateien. Abhängig von der Windows Version werden die Dateien im Papierkorb auf unterschiedliche Art und Weise dort abgelegt.

Windows-Explorer.jpg

In Windows XP werden die Dateien im Verzeichnis „Recycler“ unter der spezifischen SID des Benutzers gespeichert. In diesem Verzeichnis existiert zudem die INFO2-Datei, die einen Index aller gelöschten Dateien, deren ursprünglichen Pfad, die Dateigröße und den Zeitpunkt der Löschung sowie Meta-Daten der gelöschten Dateien enthält. Ab Windows Vista werden die Dateien in dem Verzeichnis „$Recycle.Bin“ in dem Unterverzeichnis mit der SID des Benutzers abgelegt. Die INFO2-Datei existiert im Gegensatz zu dem Betriebssystem Windows XP nicht mehr.

Für alle darauffolgenden Versionen werden für jede gelöschte Datei zwei Dateien im Papierkorb angelegt. Die erste Datei beginnt mit dem Wert „$R“, gefolgt von einem zufälligen String. In dieser Datei ist der tatsächliche Inhalt der gelöschten Datei gespeichert. Die zweite Datei beginnt mit „$I“ und endet auf demselben String wie die „$R“-Datei. Die „$I“-Datei enthält den ursprünglichen Dateinamen, den ursprünglichen Pfad, die Dateigröße und wann die Datei gelöscht wurde.

Damit es dem Anwender möglich ist, einfach auf seine gelöschten Dateien zuzugreifen, erzeugt Windows aus diesen beiden Dateien für den Benutzer eine virtuelle Datei mit dem ursprünglichen Dateinamen.




Total commander.jpg

Ein Zugriff über das Programm TotalCommander hingegen, liefert eine Ansicht der eben erläuterten Datenstruktur.













Forensische Auswertung

X-ways.jpg

Der Papierkorb ist zur forensischen Auswertung relevant, da durch die Verwendung spezieller Forensik Programme auch die aus dem Papierkorb entfernten Dateien sichtbar und ggf. wiederhergestellt werden können.

X-ways2.jpg




[1] [2]

  1. Geschonneck, Alexander; Computer Forensik, 6. Aufl. Heidelberg; dpunkt.verlag, 2014
  2. https://www.magnetforensics.com/de/blog/digitale-forensik-artefakt-profil-papierkorb/
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Windows-Papierkorb&oldid=2813