티스토리 뷰

Digital Forensics/DISK Forensic

파일 삭제 복구

Noctis41 2024. 2. 17. 20:14

Digtal Forensics

https://infosec-noh.tistory.com/6

 

디스크 마운트, 메모리 덤프

https://infosec-noh.tistory.com/4 디스크 이미징 디스크 이미지는 기록 미디어 안에 있는 내용이 저장된 파일을 가리킨다. 디스크 이미징이란, 디스크를 파일의 형태로 가져오는 것을 말한다. 디스크를

infosec-noh.tistory.com

이전글을 먼저 보시는 것을 추천합니다.

이번에는 삭제된 파일들을 복구하는 방법을 학습하겠다.

FTK의 좌측 상단 edd evidence item을 통해 저번에 만들었던 이미지 파일을 추가한다.

 

추가 후 root까지 가보면 이미지 안에 있는 파일들을 보여 줄 것이다.

근데 파일을 보니 X 처리 된 파일들이 있다.

이것은 삭제된 파일로 우리가 일반적으로 열었을 땐 보이지 않는다.

하지만 FTK 이미저에서는 삭제된것을 복구해주는 기능이 있다.

복구 하고자 하는 파일을 우클릭후 Export Files를 클릭한다.

만약 사진과 파일이 다르다면 아무 X표시가 된 파일이던 상관없다.

 

나는 바탕화면으로 Export 시켜줬다.

확인해보면 복구가 된 것을 볼 수 있다.

'Digital Forensics > DISK Forensic' 카테고리의 다른 글

악성코드 감염 MBR 복구  (0) 2024.06.26
다중 파티션 이해  (0) 2024.06.26
FAT32 파티션 복구  (0) 2024.06.21
디스크 마운트, 메모리 덤프  (0) 2024.02.17
디스크 이미징  (0) 2024.02.17