Forensics: EnCase, Vista and the Recycle Bin  

This article covers the examination of the recycle bin in Vista 

Contents Forensics: EnCase, Vista and the Recycle Bin ............................................................................................... 1 

The $I Files ................................................................................................................................................ 2 

Inside the Recycle Bin in Vista................................................................................................................... 2 

Contents of the $I File ............................................................................................................................... 5 

Decoding the $I Files ................................................................................................................................. 6 

Verification of the File Size ..................................................................................................................... 10 

 

 

 

For those examining Vista, forensically, there are many changes and new areas to learn.  One area is the Recycle Bin. For over a decade Windows systems have had a recycle bin, with an INFO2 file. This was well known and understood. This has all changed with Vista.  

The recycle bin is still there but the INFO2 file is not. Windows Vista still keeps track of the deleted files, just not with the INFO2 file. 

In Windows Vista the following information is recorded for files in the recycle bin: 

• Name of file deleted 

• Full path of file deleted 

• Size of file deleted 

• Date of File Deletion 

This information is stored within the Recycle Bin, as with previous Windows systems however in Vista each deleted file has a corresponding file storing the relevant information called an $I file, rather that it all being combined into the INFO2 file.  

   

1 Where is Your Data? www.whereisyourdata.co.uk 

The $I Files  

When a file is manually deleted it is automatically placed into the recycle bin and two things happen. 

1) The deleted file is renamed. The file extension stays the same but the file is given a new name starting $R. 

2) A new file called $I with the same name as the newly deleted file is created. This contain information about the file that was deleted 

Example: If Test1.DOC is deleted it is moved into the recycle bin and could be renamed something like $R4ED22. At the same time the $I file is created and would be called $I4ED22. The $R file is the same file as the original file and can be opened and viewed as before. The $I file contains information about the file that was deleted, names, date, time, original file path and file size 

Inside the Recycle Bin in Vista  

The pictures below show the inside of the recycle bin of Vista system 

Fig 1. The recycle bins in Vista 

 

   

2 Where is Your Data? www.whereisyourdata.co.uk 

Fig 2. Inside the recycle bin in Vista. There is no INFO2 File 

 

 

Figure 2 shows a recycle bin in Vista where two files have been deleted, one TXT file and one RTF file.  

Currently the recycle bin has five files; two RTF files, two TXT files, and one desktop.ini. The desktop.ini is similar to before and is not relevant for this article.  The $R files are the original files, and can be opened as normal. The $I files are the files that keep track of the original file. 

In Figure 2 above $RETRFL3.RTF is the original file (but the name has been changed during deletion) and $IETRFL3.RTF is the tracking file for $RETRFL3.RTF, acting like an INFO2 file. 

Fig. 3 Showing $RETRFL3.RTF in the Hex 

 

 

3 Where is Your Data? www.whereisyourdata.co.uk 

In Figure 3 above the contents of the original RTF file can be seen. The body of the file, which was written as a test, states “This file was created a 4:28 pm and will be deleted at 4:51” 

Figure 4 Showing the contents of the corresponding $I file.  

 

   

4 Where is Your Data? www.whereisyourdata.co.uk 

Contents of the $I File  

The $I file stores the following information: 

• Name of file deleted 

• Full path of file deleted 

• Size of file deleted 

• Date of File Deletion 

The information is stored within the $I file as follows: 

1) The first 8 bytes, for 8 bytes, is the $I header.  2) The second 8 bytes, for 8 bytes, is size of the file in bytes. 3) The third set of 8 bytes, for 8 bytes, stores the date the file was deleted, in Windows date/time 

format. 4) After the header, the file size, and the date (24 bytes into the file) is the full path and file name 

of the original file, before it was deleted.  

   

5 Where is Your Data? www.whereisyourdata.co.uk 

Decoding the $I Files   

The pictures below show how to decode this information in EnCase.  

1) The $I file header, starting 01 for 8 bytes.  

 2) The second set of 8 bytes (file offset 8 for 8) is the size of the file.  Because of the Big 

6 Where is Your Data? www.whereisyourdata.co.uk 

Endian/Little Endian issue it needs to be flipped, i.e the size of the file, in hex, in bytes is 00 00 00 00 00 00 00 DC.  This is 220 bytes, which is correct.  

 3) The third octet (file offset 16 for 8) is the date and time the file was deleted. This 

date/time is stored in the standard windows date/time format, of 8 bytes long.    

 

   

7 Where is Your Data? www.whereisyourdata.co.uk 

Simply bookmarking this 8 byte date in EnCase will show the date the file was deleted. In this case the file was deleted 16:51 on 30th June 2009. 

   

8 Where is Your Data? www.whereisyourdata.co.uk 

4) The final set of information, within the $I file is the full path and file name.  This is from file offset 24 and runs for the length of the path and file name. In this case  the file was called “test2.rtf” and was stored on the desktop.  

  

  

   

9 Where is Your Data? www.whereisyourdata.co.uk 

Verification of the File Size  

 

When the file is deleted it maintains its size. This information can be checked against the  data decoded from the $I file. 

 

 

10 Where is Your Data? www.whereisyourdata.co.uk