本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。

以下文章来源于娜璋AI安全之家，作者 Eastmount

获取回收站内容

为什么我们要去获取回收站文件呢？因为很多情况下调查取证需要获取远程目标的历史痕迹，回收站是重要的一个目标。在Windows操作系统中，回收站是一个专门用来存放被删除文件的特色文件夹。

在使用FAT文件系统的Windows98系统中，回收站目录通常是C:\Recycled；在Windows NT2000、Windows XP在内支持的NTFS操作系统中，C:\Recycler；在Windows Vista和Windows7中，回收站目录是C:\$Recycle.Bin。如下图所示，回收站中包含两个文件，分别位于桌面和D盘目录。

 

第一步，检测回收站目录是否存在。

 

Windows10操作系统输出结果如下所示：

• C:\$Recycle.Bin\

第二步，找到回收站之后，检测其中的内容，如下图所示，字符串SID与用户账户名是对应的，比如1001结尾的SID。

 

第三步，编写代码获取回收站文件夹所在目录。

 

输出结果如下图所示：

 

第四步，用python将用户的SID关联起来，使用Windows注册表将SID转化为一个准确的用户名。

• 通过检查Windows注册表键值
• HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\ProfileImagePath

编写一个函数来将每一个SID转化为用户名，这个函数将打开注册便检查ProfileImagePath键值，找到其值并从中找到用户名。

 

如下图所示，用户名为“xiuzhang”。

 

第五步，获取回收站所有内容，完整代码如下。

 

 

输出结果如下图所示：

 

对应的回收站内容如下，但非常可惜获取的值无法对应，why？后续作者会继续深入挖掘。

 

 

如果我们想把文件删除到回收站，又怎么解决呢？Python删除文件一般使用os.remove，但这样是直接删除文件，不删到回收站的，那么想删除文件到回收站怎么办？

(1) 安装pypiwin32扩展包（含win32api）。

 

(2) 调用SHFileOperation函数实现删除文件至回收站。

在Windows的shellapi文件中定义了一个名为SHFileOperation的外壳函数，用它可以实现各种文件操作，如文件的拷贝、删除、移动等，该函数使用起来非常简单，它只有一个指向SHFILEOPSTRUCT结构的参数。

 

最终效果如下图所示，可以看到require.rb文件被成功删除。

 

注意，注册表操作可能会遇到“PermissionError: [WinError 5] 拒绝访问”问题，我们需要设置Python.exe用户名完全控制，并且用管理员方式打开即可解决。

 

PS：如有需要Python学习资料的小伙伴可以加下方的群去找免费管理员领取

 

可以免费领取源码、项目实战视频、PDF文件等