728x90
반응형
가끔 컴퓨터를 하다보면 파일을 모르고 삭제할 수 있다.
이를 살리기 위해
FTK Imager를 사용하여 살려보자.
FTK Imager 실행 하면 밑에의 창이 뜬다. 여기서
FILE -> Add Evidence Item...을 누르면
이러한 창이뜨면 다음
이 창은 하드디스크를 선택하는 창이다. 저자는 가상으로 하는 거라 68GB로 잡혀있다. 여러가지가 잡힐수도 있다.
Finish를 하면 이러한 창이 뜨는데 옆에 플러스를 누르면
이렇게 파티션 1, 2 가 나오는 것을 확인하고 처음에는 350MB를 봤을 때 부팅을 도와주는 시스템으로 보인다.
파티션 2를 누르면 Root가 나오는 데 Root 매우 중요하다!!!
Root -> Recycle.Bin에 들어가면 삭제한 파일들이 나온다. 이렇게 간단하게 찾아 낼수 있다. 한번 다른 폴더에도 들어가보자!!
728x90
반응형
'For3nsic > Forensic ' 카테고리의 다른 글
| 파티셔닝과 디스크레이아웃 등 (0) | 2015.11.10 |
|---|---|
| 포렌식을 더깊게... (0) | 2015.11.10 |
| 파티션 테이블 확인하는 방법 (2) | 2015.11.03 |
| MBR 구조 (0) | 2015.11.03 |
| 파일시스템 분석 (0) | 2015.11.02 |
댓글1