0x0102
삭제 파일 복구 본문
[삭제 파일 복구]
실습 과정 / ftk imager
1. add evidence item -> image file
2. 디스크 이미징 실습 때 사용했던 image.E01 가져오기
3. finish -> usb에 대한 정보 확인 / 이때 내가 Usb에서 삭제 했던 파일들을 확인할 수 있음 (아이콘 x표시)
4. 복구할 파일 우클 -> exprot files 클릭 -> 파일 복구 경로 지정
5. 복구
[autopsy]
- 다양한 기준으로 파일 탐색 가능 ex) 파일 타입 기준, 삭제된 파일 기준 ...
실습과정
1. test1이라는 이름으로 케이스 생성
2. path 지정
3. ftk imager 실습 때와 마찬가지로 삭제된 파일 확인 가능
'Study > Digital Forensic' 카테고리의 다른 글
| GrrCON 2015 (0) | 2022.07.11 |
|---|---|
| Volatility Cridex Forensic (0) | 2022.07.11 |
| 도구 설치, 실습 환경 설정 (0) | 2022.07.11 |
| 디스크 이미징, 디스크 마운트, 메모리 덤프 (0) | 2022.07.06 |
| 디지털 포렌식이란? (0) | 2022.07.05 |
'Study/Digital Forensic' Related Articles
more
