Documentation
Contexte sur la Corbeille Windows et le fonctionnement de cet outil.
Convertir un horodatage FILETIME de suppression Windows en date lisible
Ce que signifie le FILETIME 64 bits d'un fichier $I de la Corbeille, comment le convertir manuellement en date UTC, et pourquoi la gestion des fuseaux horaires compte pour les chronologies forensiques.
Fichiers $I et $R : quelle différence dans la Corbeille ?
Comment le fichier de métadonnées $I et le fichier de contenu $R fonctionnent ensemble dans $Recycle.Bin sous Windows, et pourquoi la forensique s'appuie sur les deux.
Le dossier $Recycle.Bin est-il un virus ? Peut-on le supprimer ?
Pourquoi le dossier caché $Recycle.Bin apparaît sur chaque disque (clés USB comprises), s'il s'agit d'un logiciel malveillant, et ce qui se passe réellement si vous le supprimez.
Récupérer des fichiers supprimés de la Corbeille (même après vidange)
Restaurer des fichiers depuis la Corbeille Windows, et comprendre ce qui reste récupérable sur disque après vidange, en utilisant les métadonnées $I comme carte.
Qu'est-ce que la Corbeille Windows ? ($Recycle.Bin expliqué)
Tour de praticien du dossier $Recycle.Bin Windows, des fichiers $I et $R qu'il contient, et de son importance pour la forensique numérique et la récupération de fichiers.
Comment analyser les fichiers $I de la Corbeille (sans installation)
Trois façons de lire les métadonnées $I de la Corbeille Windows : un analyseur navigateur sans installation, RBCmd d'Eric Zimmerman, et une lecture manuelle rapide en hexadécimal.
Le format de fichier $I expliqué (disposition v1 et v2 en octets)
Disposition au niveau octet du fichier d'index $I de la Corbeille Windows, de Windows Vista à Windows 11 : en-tête, taille de fichier, FILETIME et chemin d'origine.
Où se trouve la Corbeille sur le disque sous Windows ?
Le chemin exact du système de fichiers de la Corbeille Windows, pourquoi elle est cachée, et comment acquérir les fichiers $I/$R depuis une machine en direct ou une image forensique.
Utiliser la Corbeille dans une investigation forensique
Ce que la Corbeille Windows prouve dans un dossier DFIR : suppression intentionnelle, comportement anti-forensique, chronologies suspectes, avec un exemple traité.
Les sous-dossiers SID de la Corbeille expliqués
Pourquoi $Recycle.Bin contient des dossiers aux longs noms S-1-5-21, comment associer un SID à un utilisateur Windows, et ce que cela signifie pour l'attribution d'une suppression.