Bac de recyclage ($Recycle.bin)
But et fonction
La Corbeille Windows est un dossier système spécial qui sert de zone de mise en place pour les fichiers et dossiers supprimés par un utilisateur par des méthodes standard (par exemple, en appuyant sur la touche ou en utilisant le menu contextuel du clic droit). Son objectif principal est de servir de filet de sécurité, conservant indéfiniment les éléments supprimés jusqu’à ce que l’utilisateur choisisse soit de les retirer définitivement en vidant la poubelle, soit de les remettre à leur emplacement d’origine.Delete
Il est essentiel de comprendre que les fichiers envoyés à la corbeille ne sont pas dans un état temporaire avec une date d’expiration. Ils y restent jusqu’à ce qu’une action explicite soit prise. Les fichiers supprimés ou supprimés de manière programmatique par certaines applications contournent complètement la Corbeille.Shift + Delete
Du point de vue du DFIR, la Corbeille de Recyclage est un artefact crucial. Il enregistre méticuleusement les métadonnées de chaque élément qui lui est envoyé, fournissant des preuves définitives de ce qui a été supprimé et exactement quand.
Emplacement et structure
Chaque volume NTFS sur un système Windows possède son propre dossier système protégé et caché, nommé à la racine du disque (par exemple, ). Pour visualiser ce dossier, un analyste doit activer à la fois les « fichiers cachés » et « fichiers du système d’exploitation protégés » dans les options de l’Explorateur de fichiers.$Recycle.bin C:\$Recycle.bin
À l’intérieur du dossier, des sous-dossiers sont créés nommés d’après l’identifiant de sécurité (SID) de chaque utilisateur ayant supprimé des fichiers sur ce volume. Cette structure garantit que les éléments supprimés sont directement attribuables à un compte utilisateur spécifique.$Recycle.bin
Dans le sous-dossier SID d’un utilisateur, chaque élément supprimé est représenté par deux fichiers distincts :
$I{unique_ID}.{original_extension}: Voici le fichier de métadonnées. C’est un petit fichier mais riche en sciences judiciaires contenant :Le chemin complet original de l’élément supprimé.
La taille du fichier original en octets.
Un horodatage de haute précision indiquant exactement quand l’article a été envoyé à la corbeille.
FILETIME
$R{unique_ID}.{original_extension}: Voici le fichier de contenu. Il contient les données réelles de l’élément supprimé, conservant son extension de fichier d’origine mais renommée avec un préfixe.$R
Lorsqu’un utilisateur vide la Corbeille, les fichiers et associés aux éléments sont définitivement supprimés du système de fichiers.$I $R
Métadonnées stockées
La valeur médico-légale principale est concentrée dans le fichier de métadonnées. Un analyseur médico-légal extraira :$I
Nom de fichier original et chemin : Confirme le nom du fichier et où il se trouvait avant la suppression.
Heure de suppression : C’est la preuve la plus cruciale. L’horodatage « Date de création » du fichier correspond directement au moment où le fichier original a été déplacé dans la corbeille de recyclage.
$I...Taille du fichier : La taille du fichier original.
Attribution utilisateur : La structure de dossiers basée sur le SID fournit un lien direct et indéniable entre la suppression et un compte utilisateur spécifique.
Valeur médico-légale
La Corbeille de recyclage est une source inestimable pour récupérer des preuves abandonnées et comprendre les tentatives d’un utilisateur pour cacher ses actions.
Récupération de preuves abandonnées : Les analystes peuvent souvent récupérer l’intégralité du contenu des fichiers supprimés en y accédant, donnant ainsi un accès direct aux preuves qu’un utilisateur croyait absentes.
$R...Établir un calendrier de suppression : Les horodatages de suppression dans les fichiers sont essentiels pour construire une chronologie précise. Trouver des fichiers suspects supprimés quelques instants avant une enquête est un signal d’alarme important.
$I...Preuve de l’existence et de la localisation antérieures : Le chemin original prouve qu’un fichier existait à un endroit précis, corroborant les résultats d’artefacts d’exécution pouvant indiquer un fichier désormais manquant.
Détection de l’activité de dégagement : L’horodatage « Date modifiée » du dossier parent (ou du sous-dossier SID spécifique de l’utilisateur) est mis à jour à toute interaction, y compris le vidage du bac. Un temps de modification très récent est un indicateur fort de l’activité récente de déminage.
$Recycle.bin
Il est important de se rappeler que les disques formatés avec FAT32 ou exFAT (courants pour les clés USB) n’ont pas cette structure standard.$Recycle.bin
Points de réflexion (Concours SS)
Pour un ScreenSharer, la Corbeille de Recyclage est un lieu principal pour vérifier s’il y a des preuves qu’un joueur a tenté de se défausser juste avant le chèque.
Trouver le nettoyage pré-SS : Un joueur suspecté supprime souvent ses triches par la méthode standard juste avant d’être « figé ». La Corbeille de Recyclage est le premier endroit où ces preuves se trouvent. Trouver une triche avec un horodatage de suppression juste avant le début du SS est la preuve convaincante d’une tentative de le dissimuler.
Retrouver la preuve irréfutable : Un SSer peut fréquemment récupérer l’exécutable complet de triche à partir du fichier. Cela permet une analyse immédiate (vérifier son hachage, ses chaînes ou le téléverser sur VirusTotal), transformant un fichier supprimé en preuve concrète.
$R...Confirmation de l’écartement des preuves : Même si le lecteur a vidé la corbeille, un utilisateur de la Sécurité sociale peut vérifier l’horodatage « Date de modification » du dossier. Un horodatage très récent indique fortement que le joueur a simplement effacé la poubelle pour détruire des preuves — un acte très suspect en soi.
C:\$Recycle.binAttribution directe de l’utilisateur : La structure de dossiers SID facilite l’attribution de la suppression à l’utilisateur actif, l’empêchant de nier de manière plausible l’action ou de blâmer un autre utilisateur ou un processus système.
Mis à jour