삭제 파일 복구 방법
1. FTK Imager
- Add Evidence Item에 생성한 이미지 추가 ( ※ 이전 글의 디스크 이미징 실습 참고)
- Evidence Tree에서 root를 클릭하면 오른쪽 File List에 X 표시가 되어있는 파일들은 삭제된 파일들임
- 복구 시작 ( 삭제된 파일은 [root] - Recycle.bin에 있을 확률이 높음. //Recycle.bin은 휴지통)
- 삭제된 파일에 오른쪽 클릭을 하여 Export Files 선택
2. Autopsy
Autopsy는 내부적으로 window 파일 시스템 내부의 아키텍처 지원을 하고 있어 disk image를 Autopsy에 넣는 경우는 많은 데이터를 뽑아낼 수 있음
- new case 클릭
- 원하는 이름, 원하는 경로로 설정
- Optional Information은 pass - finish
- Select Host - Generate new host name based on data source name
- Select Data Source Type - Disk Image or VM File
- Path - 생성한 이미지
- 전부 next를 클릭 후 Finish
* Autopsy는 파일 타입에 따라서 분류해 주는 기능이 있음
ex. DB, Image, HTML, exe, Deleted Files 등
다음 글에서 침해사고 분석 실습 진행
'디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 - FTK Imager을 이용한 디스크 이미징, 디스크 마운팅, 메모리 덤프 (0) | 2022.03.15 |
|---|---|
| 디지털 포렌식 - 실습 기초 도구 다운로드 (0) | 2022.03.15 |
| 디지털 포렌식(Digital Forensic)이란? (0) | 2022.03.15 |
댓글