Bir adli bilişim incelemesinin olmazsa olmazlarından birisi de ilgili bilgisayarda silinmiş dosyaların analizini gerçekleştirmekdir ve bu bağlamda hem kullanıcının bilgisayarındaki çöp kutusunun hem de diskin tamamı üzerindeki silinmiş dosyaların tamamının tespit edilip analiz edilmesi gerekir. Windows’daki Recycle Bin, diğer bir adıyla Geri Dönüşüm Kutusu kullanıcın grafik arayüz üzerinden sildiği dosyaların gönderildiği ve sonrasında kullanıcı isterse sildiği bu dosyaları geri kurtarabildiği bir dizindir ve biz gerçekleştirdiğimiz adli bilişim incelemelerinde mutlaka bu dizinde yer alan dosyaları tespit edip analiz ederiz. Windows 2000/XP/2003 sistemlerde RECYCLER, Windows Vista/7 sistemlerde ise $Recycle.Bin ismiyle her bir sürücü altında yer alan bu dizin içinde her bir kullanıcı adına kullanıcının ilk dosya silme işlemi anında ve kullanıcının SID’i ile aynı isimde olacak şekilde birer alt dizin oluşturulur ve kullanıcının sildiği dosyalar bu dizin altında yer alır. Windows 2000/XP/2003 sistemlerde yer alan RECYCLER dizini altında INFO2 isminde gizli bir dosya bulunmaktadır ve bu dosya dosyanın orjinal ismini ve silinme zamanını saklamaktadır.
Aşağıdaki ekran görüntüsünde örnek bir kullanıcıya ait RECYCLER dizininin içeriği gösterilmiştir. Canlı sistem üzerinde bu dizinin içerisinde yer alan dosyaları görüntülemek için dir /a şeklinde bir komut çalıştırmanız gerekiyor.
Yukarıdaki ekran çıktısından da görebileceğiniz üzere bir tane INFO2 isimli dosyamız mevcut. Bu dosyayı parse ederek çöp kutusuna gönderilmiş dosyalar hakkında detaylı bilgilere ulaşabiliriz. INFO2 türündeki dosyaları parse etmek ve içeriğini okumak için kullanabileceğimiz ücretsiz yazılımların birisi rifiuti2’dur. rifiuti2 uygulamasını https://code.google.com/p/rifiuti2/downloads/detail?name=rifiuti2-0.5.1-with-glib.zip&can=2&q= adresinden indirebilirsiniz. Kendisine girdi olarak verilen INFO2 dosyasını pars edip, silinen dosyaların orjinal dosya adı ve silinme tarihini çıktı olarak veren bu uygulamanın çalıştırılmasına örnek aşağıdaki ekran görüntüsünde yer almaktadır.
Yukarıdaki ekran görüntüsünden de görülebileceği üzere çöp kutusuna gönderilmiş dosyaların ne zaman silindiği, boyutunun ne kadar olduğu, silinen dosyanın sabit disk üzerindeki tam yolu gibi bilgileri INFO2 dosyasını parse ederek öğrenebiliyoruz.
Windows Vista ile birlikte RECYCLER dizininin yerini $Recycle.Bin dizini almıştır. Artık tek bir INFO2 dosyası yerine silinen her bir dosyaya ait dosyanın silinme zamanı ve dosyanın orjinal isminin saklandığı ve adı $I ile başlayan dosyalar yer almaktadır. Bununla birlikte $R ile başlayan ve her bir $I ile başlayan dosya ismiyle eşdeğer bir isimle saklanan dosyalar ise silinen dosyaların orjinal hali saklamaktadır. Aşağıdaki ekran görüntüünde örnek bir $Recycle.Bin dizininin içeriği görülmektedir.
Yukarıdaki ekran çıktısından da görülebileceği üzere bu dizinin içeriği okunarak silinen dosyaların gerçek isimleri hakkında herhangi bir bilgiye ulaşmamız mümkün değil. Bunun yanında her bir silinen dosyaya ait bilgilerin ayrı ayrı tutulması olası bir veri karartma yönteminin kullanılması durumunda arta kalan delillerin bulunması noktasında biz adli bilişim uzmanlarının işini kolaylaştırmaktadır. Bu dizin altında yer alan uygulamaları parse edip anlamlı bilgiler elde etmek için Rifiuti2 uygulaması ile birlikte gelen rifiuti-vista.exe uygulamasını kullanabiliriz. Bu uygulama yardımıyla $Recycle.Bin dizini altındaki dosyaların analizini kolaylık gerçekleştirmemiz mümkün. Aşağıdaki ekran görüntüsünde rifiuti-vista.exe uygulamasının kullanımını gösterir örnek bir çıktı yer almaktadır.
Yukarıdaki ekran çıktısından da görülebileceği üzere silinen dosyaların ne zaman silindiği, boyutu ve tam yolu gibi bilgileri rifiuti-vista.exe yardımıyla elde edebiliyoruz. $Recycle.Bin dizini altında yer alan alt dizinlerin altındaki dosyaları EnCase Forensics ile de analiz edebilirsiniz. Aşağıdaki ekran görüntüsünde örnek bir $Recycle.Bin dizininin içeriğinin EnCase Forensics 7 ile nasıl görüntülendiği yer almaktadır.
Bu arada bir konunun altını çizmekte fayda var .Eğer kullanıcı masaüstündeki geri dönüşüm kutusu üzerine sağ tıklayıp özellikler seçeneğini seçip, karşısına çıkan ekranda yer alan seçeneklerden “Don't move files to the Recycle Bin. Remove files immediately when deleted.” seçeneğini seçerse, seçim yaptığı sürücü içinde bulunan dosyalara ait silme işlemlerinin hiçbirisinde geri dönüşüm kutusu kullanılmaz ve dosyalar geri dönüşüm kutusuna yollanmadan direkt olarak silinir. Bu durumda silinmiş dosyaları kurtarıp analiz etmek için yukarıda anlatılan yöntemlerden farklı bir yöntem izlemeniz gerekmektedir.
