Rifiuti2介绍

Rifiuti2是一款专门用于分析Windows回收站文件-INFO2格式文件的分析工具。在Windows环境下的设备取证分析工作中，经常需要涉及到针对Windows回收站文件的分析工作。Rifiuti2可以提取出目标时间的文件删除时间，原始文件路径和被删除的文件大小，并判断被删除的文件是否已被永久移除。

工具下载

Rifiuti2：【Windows 32/64位源码】

注意事项

1、 系统支持UTF-8编码（除Windows控制台外），文件输出同样为UTF-8格式。

2、 -8选项已失效，不会以任何方式影响输出。

工具使用

Rifiuti2为可移植版本，并且可以在命令行环境中运行。根据对应的Windows回收站格式，我们可以选择两种二进制文件（大多数情况下只需使用第一种格式）：

下面给出的是大多数用户的常用选项：

有关完整的工具选项以及详细的用法说明，可以参阅readme.html文档。

工具使用样例

扫描\case\S-1-2-3\目录下的索引文件，根据本地时间Zone调整所有的文件删除时间，并将分析结果写入到result.xml文件中：

rifiuti -vista.exe-x -z -o result.xml \case\S-1-2-3\

假设INFO2文件是日版Windows（codepage932）生成的，你可以使用下列命令按行生成所有信息：

rifiuti -l CP932 -t "\n" INFO2

支持的平台

目前该工具已在Linux、Windows 7和FreeBSD平台上成功测试，并使用了Qemu模拟器在很多大端平台上进行了测试。

工具下载

Windows

Windows代码可以直接从该项目的GitHub Release页面中获取：【传送门】

请注意，v0.6.1版本为目前Rifiuti2的最新版本，可以直接在Windows XP和Windows 2003上运行，我们会在之后的版本中添加对Vista或更高版本的支持。

Linux

1、 用户可从Debian和Ubuntu获取官方DEB数据包，并支持大多数专注于安全和取证的衍生产品：

Kali Linux

Deft X Virtual Appliance

BackBoxLinux

2、 Linux取证工具库（LiFTeR）的RPM包可以在Fedora上使用，并支持CentOS和Rhel。

3、 Rifiuti2支持ArchStrike（Archsault），一个渗透测试衍生工具。

FreeBSD

支持官方FreeBSD端口。

其他平台（需编译源码）

针对目前Rifiuti2还不支持的平台，我们可以直接编译源码来进行平台适配。Rifiuti2基于常用的autotools机制：

./configure&& make check && make install

更多信息，请参考这篇【文档】。

工机具运行截图

许可证协议

Rifiuti2遵循BSD开源许可证协议。

项目地址

Rifiuti2：【GitHub传送门】

*参考来源：abelcheung，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM