(2021.01.20)
FTK Imager 설치하기
FTK Imager는 포렌식 도구 중에 하나이다.
FTK Imager Version 4.5 | AccessData
FTK Imager Version 4.5
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
위의 링크에 들어가서 다운을 받아준다.
귀찮지만 다 입력해주고, 다운링크를 받자...
받아주고 다운된 파일을 실행시켜준다.
FTK Imager 사용방법
File > Add Evidence Item 을 눌러준다.
Physical Drive 눌러주고, \\.\PHYSICALDRIVE1 을 눌러준다.
그리고 Partition1 > NONAME > root 누르면 파일들이 쫘라락 뜬다.
삭제한 파일 복구하는 방법
USB에 있는 pdf 파일을 삭제해준다.
File > Add Evidence Item > Physical Drive > \\.\PHYSICALDRIVE2 > Partition 1 > USB DISK > [root]
순으로 눌러준다.
삭제한 파일에 마우스 오른쪽을 클릭해서 Export Files 를 눌러서 원래 위치를 선택해주면 복구된다!
파일이 다시 돌아온 것을 볼 수 있다!!
'Security > Digital Forensic' 카테고리의 다른 글
| [포렌식] WinPrefetchView 설치하기 + 사용법 (0) | 2021.01.21 |
|---|---|
| [포렌식] NTFS Log Tracker 설치하기 + 사용법 (0) | 2021.01.21 |
| [포렌식] 2주차 - 증거 수집: 클로닝과 해싱 (0) | 2021.01.17 |
| [포렌식] 2주차 - 랩과 툴 (0) | 2021.01.17 |
| [포렌식] 1주차 - 헤더/푸터 시그니처, HxD/foremost 도구 사용법 (0) | 2021.01.05 |
