본문 바로가기
introduce 프로그램

Windows File Analyzer 그리고 Rifiuti v1.0 - 휴지통 삭제 로그 보기

by 글벌레 2012. 1. 9.
반응형
 

아들이 있는 분들께서는
이제 막 사춘기에 접어든 아들 방에 들어갔는데

아들이 컴퓨터 모니터를 당황하면서 끌 때

아들과 함께 사용하는 컴퓨터의 휴지통이 항상
깨끗하게 비어 있을 때

뭔가 이상하게 느끼실지 모릅니다 .

혹 이 녀석이 **女 풀버전 같은 걸 보는 거 아냐 ?
하고 의심이 들지도 모릅니다 .

그래서 혹시라도 하는 마음에
컴퓨터에서 복구 프로그램을 돌려보는데

아뿔사 ! 이거 뭔 시간이 이렇게 오래 걸리나 ? 하다가
복구 결과를 보고는

파일 이름도 제대로 표시되지 않는 게 많다는 사실에
의심만 점점 더 늘어갈지도 모릅니다 .

아들이 있는 분들의 고민이죠 . ㅠ ㅜ
우리 아들은 항상 순진하기를 바라는데...

물론 딸들은 그에 비하면 낫습니다 . 최소한  **女 풀버전 같은 거는 안 보니까요 .
딸들은 별별男 풀버전을 봅니다 . ㅋㅋ

위에 그림을 올린 **女 풀버전 같은 게 뭔지 궁금하신 분들은 여기↗를 클릭해 보시면 아실 수 있고요 .
                                                                                       (19세 미만 클릭 금지 ! )

그런 부모님들의 고민 해결을 위하여
오늘은 글벌레가 휴지통의 삭제 기록을 볼 수 있는 디지털 포렌식 도구를 하나 소개해 봅니다 .

일단 아주 간단하게 이론 부분을 설명하면
우리가 시스템의 바탕 화면에서 휴지통을 열고 보면

위 그림처럼 보이지만 이건 실제 휴지통의 모습은 아닙니다 .

이건 이 글을 읽는 보통 사람들의 눈에 보이는 휴지통의 모습이고
저처럼 사물의 본질을 보는 눈을 가진 사람에게 휴지통은


위 그림처럼 보입니다 .

명령 프롬프트에서 본 휴지통


휴지통에 버려진 파일들은 실제 이름으로 저장되지 않고 , 버려진 순서에 따라서
알파벳과 일련 번호로써 저장이 됩니다 .

그 실제 이름과 버려지기 전의 경로는
INFO2 파일에 저장이 되는데

휴지통 비우기를 하면 이 INFO2 파일도
refresh가 되지만
제가 위의 그림에서 INFO2 파일에 표시한
빨간색 정도의 부분에는 휴지통에서마저 버려진
파일들의 이름과 경로가 남게 됩니다 .


오늘 소개하는 프로그램은 바로 위 그림에서 빨갛게 표시한 INFO2 파일의 영역을 보는 프로그램입니다 .
(혹시라도 해서 언급해 놓으면 - 복구 프로그램 아닙니다 !)

Windows File Analyzer
홈 페이지 / 다운로드 - http://www.mitec.cz/wfa.html
지원하는 운영체제 - 모든 마이크로소프트 윈도우즈
라이선스 - 프리웨어

위 홈 페이지에 들려 오른쪽 상단으로 보이는 Download를 클릭해서
프로그램을 다운로드합니다 .

다운로드 받은 파일을 압축 프로그램에서 열고


WFA.exe를 실행시키면 프로그램이 곧바로 열립니다 .(무설치형 프로그램)

프로그램이 열리면


보고자 하는 드라이브의 INFO2 파일을 택해주면 그걸로 끝입니다 .

물론 표시되는 파일의 수는 시스템에 따라 틀릴 수는 있지만 그리 많이 표시되지는 않습니다 .
대략 8개에서 14개 내외가 표시되지 않을까 싶습니다 .
빨간 표시한 INFO2 파일의 영역이 그리 크지는 않으니까 말이죠 ...

그래도 아들 녀석이 어제 , 그제 무얼 보았나 정도는 살펴볼 수 있습니다 .
그러니 아들의 순수성을 지켜 주세요 . 세상의 딸들을 위하여서라도 ^ ^*

앞서도 말했지만 딸들은 감시 안 해도 됩니다 .
제일 큰 이유는 남자는 구경할래야 구경할 건덕지가 별로 없습니다 .
그냥 바나나를 보는 게 눈이 더 호강하는 거니까요 ...

사실 위 프로그램은 구글 검색을 통해서 찾은 건데요 .
저걸 찾다가 또 하나를 찾았는데

맥아피(McAfee)에서 제공하는 Rifiuti입니다 .

Rifiuti 다운로드 - http://www.mcafee.com/kr/downloads/free-tools/rifiuti.aspx

이 프로그램은 명령줄에서 실행하는 프로그램입니다 .
다운로드를 한 프로그램을 압축 프로그램에서 열고 임의의 폴더에 파일들을 풀어준 후에
명령을 실행하면 대충 아래 그림처럼 보이는데

그 결과는 Windows File Analyzer에서 보는 것과 같으므로
자세한 설명은 생략합니다 .

참고로 언급하면 이 프로그램으로 index.dat도 손쉽게 살펴볼 수 있습니다 .
index.dat에 대한 확장된 정보를 원하신다면 아래 이전 글을 읽어 보시기 바랍니다 .
2010/04/03 - [Lecture/Computer] - index.dat에 대한 고찰

참고로 하나 더 언급한다면 Windows File Analyzer를 바이러스토탈에서 검사를 하면
세 개의 백신이 진단을 하는데 ,(실제로는 두 개의 백신)
이는 오진으로 보입니다 .(99.99%)


이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러 주시기 바랍니다 .

추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는 게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일 겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*

추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄 겁니다 ^ ^*
반응형

댓글