파일 삭제 복구

Digtal Forensics

https://infosec-noh.tistory.com/6

디스크 마운트, 메모리 덤프

이전글을 먼저 보시는 것을 추천합니다.

---

이번에는 삭제된 파일들을 복구하는 방법을 학습하겠다.

FTK의 좌측 상단 edd evidence item을 통해 저번에 만들었던 이미지 파일을 추가한다.

 

추가 후 root까지 가보면 이미지 안에 있는 파일들을 보여 줄 것이다.

근데 파일을 보니 X 처리 된 파일들이 있다.

이것은 삭제된 파일로 우리가 일반적으로 열었을 땐 보이지 않는다.

하지만 FTK 이미저에서는 삭제된것을 복구해주는 기능이 있다.

복구 하고자 하는 파일을 우클릭후 Export Files를 클릭한다.

만약 사진과 파일이 다르다면 아무 X표시가 된 파일이던 상관없다.

 

나는 바탕화면으로 Export 시켜줬다.

확인해보면 복구가 된 것을 볼 수 있다.