← Tous les documents

Où se trouve la Corbeille sur le disque sous Windows ?

2 min de lecture

La Corbeille du bureau est un espace de noms shell, pas un vrai dossier. Sur disque, les artefacts vivent à la racine de chaque volume NTFS, cachés derrière deux attributs qui empêchent la plupart des utilisateurs (et un nombre déprimant de scripts de triage) de les remarquer.

Les chemins réels

C:\$Recycle.Bin\
D:\$Recycle.Bin\
E:\$Recycle.Bin\

Un par volume NTFS. Les disques FAT32 et exFAT n'ont pas de $Recycle.Bin. Les suppressions vont directement à l'espace libre. C'est l'une des manœuvres anti-forensiques les plus faciles sur Windows : formater une clé USB en exFAT, copier votre exfiltration, supprimer, rendre la clé.

Les systèmes antérieurs à Vista utilisaient une disposition différente : C:\RECYCLER\ sur NTFS, C:\RECYCLED\ sur FAT. À l'intérieur, l'index INFO2 enregistrait le même type de métadonnées que le $I aujourd'hui, mais en tant que fichier unique et non par entrée. Si vous traitez une affaire Windows XP / 2000 (cela arrive encore pour les hôtes SCADA hérités), ne cherchez pas de $I.

Pourquoi vous ne pouvez pas le voir

$Recycle.Bin a les attributs Caché et Système. L'Explorateur Windows masque par défaut Caché et refuse d'afficher Système tant que vous ne désactivez pas aussi "Masquer les fichiers protégés du système d'exploitation". Depuis une invite de commandes :

dir /a C:\$Recycle.Bin

…l'affiche indépendamment des réglages d'attributs. PowerShell :

Get-ChildItem -Force C:\$Recycle.Bin

À l'intérieur, vous trouvez un sous-dossier par utilisateur, nommé d'après son SID. Voir les sous-dossiers SID de la Corbeille pour la lecture du format SID.

Acquérir les fichiers

Pour l'investigation, vous voulez chaque $Recycle.Bin de chaque volume NTFS, y compris les disques externes attachés pendant la fenêtre pertinente.

  1. Image forensique (E01, raw, AFF4). La voie la plus propre. Montez en lecture seule et copiez l'arborescence.
  2. KAPE. La cible RecycleBin extrait chaque paire $I/$R à travers les volumes, y compris celles aux handles verrouillés.
  3. Velociraptor. L'artefact Windows.Recycler fait le même travail sur une flotte d'hôtes.
  4. Volume Shadow Copy. Utile pour un hôte en direct quand vous ne voulez pas imager le disque entier. Un instantané expose la Corbeille même quand les fichiers sont verrouillés.

Une erreur fréquente : extraire les fichiers $I sans les $R correspondants. Même si vous ne comptez lire que les métadonnées $I, avoir le partenaire $R permet de vérifier le contenu supprimé contre la taille enregistrée et de récupérer le fichier au besoin.

Pour aller plus loin

Questions fréquentes

Quel est le chemin complet de la Corbeille ?
C:\$Recycle.Bin sur les volumes NTFS (et le même dossier $Recycle.Bin à la racine de chaque autre disque, par ex. D:\$Recycle.Bin). Les systèmes XP plus anciens utilisaient C:\RECYCLER ou C:\RECYCLED à la place.
Pourquoi ne puis-je pas voir le dossier $Recycle.Bin ?
Il est à la fois Caché et Système. Activez 'Afficher les fichiers cachés' et décochez 'Masquer les fichiers protégés du système d'exploitation' dans les Options des dossiers, ou utilisez la ligne de commande, pour le voir.
Y a-t-il une Corbeille sur les disques externes et USB ?
Oui. Chaque volume NTFS reçoit son propre $Recycle.Bin à sa racine. Les clés USB FAT/exFAT ne conservent pas de Corbeille, les fichiers y sont supprimés immédiatement.
Puis-je copier les fichiers de la Corbeille pendant que Windows tourne ?
Les fichiers $I/$R appartenant à l'utilisateur peuvent généralement être copiés, mais pour une acquisition forensique solide utilisez un bloqueur d'écriture, une image forensique, ou un Volume Shadow Copy pour préserver les métadonnées et éviter les problèmes de verrous.