For3nsic/Forensic

FTK Imager 이용한 삭제된 파일 살리기

𝓛𝓾𝓬𝓮𝓽𝓮_𝓢𝓽𝓮𝓵𝓵𝓪 2015. 11. 9.

728x90

가끔 컴퓨터를 하다보면 파일을 모르고 삭제할 수 있다.

이를 살리기 위해

FTK Imager를 사용하여 살려보자.

FTK Imager 실행 하면 밑에의 창이 뜬다. 여기서

FILE -> Add Evidence Item...을 누르면

이러한 창이뜨면 다음

이 창은 하드디스크를 선택하는 창이다. 저자는 가상으로 하는 거라 68GB로 잡혀있다. 여러가지가 잡힐수도 있다.

Finish를 하면 이러한 창이 뜨는데 옆에 플러스를 누르면

이렇게 파티션 1, 2 가 나오는 것을 확인하고 처음에는 350MB를 봤을 때 부팅을 도와주는 시스템으로 보인다.

파티션 2를 누르면 Root가 나오는 데 Root 매우 중요하다!!!

Root -> Recycle.Bin에 들어가면 삭제한 파일들이 나온다. 이렇게 간단하게 찾아 낼수 있다. 한번 다른 폴더에도 들어가보자!!

728x90

태그