Analizando la papelera de reciclaje

La forma como trabaja la papelera de reciclaje a cambiado desde FAT hasta NTF
Este como trabaja con FAT

Esto es como trabaja con Windows 10
Cada unidad tiene una papelera de reciclaje y cada papelera almacena los archivos borrados por usuarios.
Para ingresar a la papelera de reciclaje ejecutamos el siguiente comando:
cd $Recycle.Bin

Para ver los archivos que contiene tenemos que utilizar el operador para mostrar los archivos de sistema
c:\Recycle.Bin>dir /a:s

Ahora mostrar una carpeta con unos códigos, para ver que carpeta pertenece a que usuario adicionamos el operador /Q, para que nos muestre el propietario del archivo.

C:\$Recycle.Bin>dir /Q /a:s
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 4845-3AF3

  Directorio de C:\$Recycle.Bin

 25/04/2017  18:16    <DIR>          NT AUTHORITY\SYSTEM    .
25/04/2017  18:16    <DIR>          NT SERVICE\TrustedInsta..
25/04/2017  18:16    <DIR>          NT AUTHORITY\SYSTEM    S-1-5-18
18/04/2017  18:24    <DIR>          MSURCO\4dmt3csup       S-1-5-21-2048156613-3159572416-2875287908-1001
19/07/2018  18:26    <DIR>          TECSUP-AQP\msurco      S-1-5-21-3172103797-2140338826-922681426-1299
18/04/2017  20:03    <DIR>          TECSUP-AQP\jramosq     S-1-5-21-3172103797-2140338826-922681426-3846
               0 archivos              0 bytes
               6 dirs   5,921,976,320 bytes libres


Estos mismos identificadores del perfil se puede ubicar en el regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\ProfileList

Para poder revisar que carpeta si tiene datos podemos utilizar el operador /s, esto mostrar todas las carpetas y que archivos se encuentra en la carpeta.
Verificamos que hay solo una carpeta que contiene datos, ingresamos a esa carpeta y nuevamente ejecutamos el comando de dir con el parametro de mostrar todos los archivos y carpetas
dir /s

ahora mostrar una lista de todos los archivos, note que hay archivos que iniciando con $I y otros con $R, el primero almacena la metadata del archivo borrado y el segundo almacena el contenido del archivo, de tal manera que ambos archivos tienen el mismo nombre solo les diferencia los 2 primeros digitos:

C:\$Recycle.Bin\S-1-5-21-3172103797-2140338826-922681426-1299>dir *876668.xlsb
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 4845-3AF3

 Directorio de C:\$Recycle.Bin\S-1-5-21-3172103797-2140338826-922681426-1299

02/06/2018  12:04               172 $I876668.xlsb
06/12/2017  16:29             7,601 $R876668.xlsb
               2 archivos          7,773 bytes
               0 dirs   5,915,033,600 bytes libres

Si abrimos el archivo $I con un editor hexadecimal como WinHex vamos a poder ver la siguiente informacion



Ahora la interpretacion de un archivo seria:


































No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)