← Tous les documents

Qu'est-ce que la Corbeille Windows ? ($Recycle.Bin expliqué)

2 min de lecture

La Corbeille Windows est l'un des artefacts les moins coûteux et au rendement le plus élevé sur un poste de travail. Chaque ligne $I fixe un fichier à un nom, un chemin, une taille et une seconde UTC. C'est l'artefact qui met fin à la défense "le fichier n'a jamais été sur cette machine" plus vite que tout autre.

Ce que fait réellement Windows quand vous appuyez sur Suppr

Sur tout volume NTFS, Vista et ultérieur acheminent les fichiers supprimés par le shell vers un dossier caché protégé à la racine du volume : $Recycle.Bin. Le fichier n'est pas effacé. Il est séparé en deux :

  • $R… : le contenu d'origine, renommé.
  • $I… : un minuscule fichier d'index portant les métadonnées : le chemin complet d'origine, la taille originale en octets, et l'horodatage de suppression sous forme de FILETIME Windows 64 bits.

Supprimer C:\Users\alice\Documents\report.pdf produit quelque chose comme $IA1B2C3.pdf et $RA1B2C3.pdf sous C:\$Recycle.Bin\<SID-utilisateur>\. L'identifiant aléatoire de 6 caractères est identique sur les deux partenaires. Échangez la lettre de tête pour trouver l'un depuis l'autre.

Pourquoi le $I pèse plus qu'on le croit

La restauration intéresse les utilisateurs. Les enquêteurs s'intéressent à l'inverse : même quand le contenu $R a disparu (effacé, récupéré, ou carvé par quelqu'un d'autre d'abord), le $I survivant prouve toujours que le fichier a existé, où il vivait, sa taille, et son moment de départ. C'est une preuve recevable de suppression sans le fichier lui-même.

Associez l'horodatage de suppression du $I aux horodatages $STANDARD_INFORMATION et $FILE_NAME du MFT pour construire le cycle de vie complet du fichier. Le journal USN enregistre souvent le USN_REASON_FILE_DELETE | USN_REASON_CLOSE correspondant pour le chemin d'origine. Si le fichier a été ouvert en dernier par l'utilisateur, la jump list et les fichiers LNK complètent l'histoire.

Ce qui n'est pas dans la Corbeille

  • Maj+Suppr contourne entièrement la Corbeille. Aucune ligne $I n'existera. L'absence est en soi une conclusion à noter.
  • Les volumes FAT32 et exFAT (la plupart des clés USB formatées sur Windows) n'ont pas de $Recycle.Bin. Les fichiers y sont supprimés immédiatement au niveau du système de fichiers.
  • Les fichiers plus grands que le quota Corbeille par utilisateur sont automatiquement Maj+Supprimés par le shell. Le quota vit dans HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket.

Pour aller plus loin

Questions fréquentes

Qu'est-ce que le dossier $Recycle.Bin ?
$Recycle.Bin est un dossier caché et protégé par le système, à la racine de chaque volume NTFS (par ex. C:\$Recycle.Bin). Depuis Windows Vista, les fichiers supprimés y sont déplacés au lieu d'être effacés, séparés en un fichier de métadonnées $I et un fichier de contenu $R.
Un fichier supprimé est-il vraiment perdu après vidage de la Corbeille ?
Vider la Corbeille retire les entrées $I et $R, mais les clusters disque sous-jacents sont seulement marqués libres. Tant qu'ils ne sont pas écrasés, les outils de récupération et forensiques peuvent souvent restaurer les données.
Pourquoi la Corbeille est-elle importante en forensique numérique ?
Chaque enregistrement $I prouve qu'un fichier avec un nom, une taille et un chemin d'origine précis a existé et enregistre l'heure exacte de sa suppression. Souvent la seule preuve chronologique qu'un fichier a été retiré intentionnellement.
Peut-on lire les fichiers $I sans installer de logiciel ?
Oui. Ce site analyse les fichiers $I entièrement dans votre navigateur avec WebAssembly, rien n'est envoyé. Déposez un fichier sur la page d'accueil pour le décoder.