FTK Imager 로 USB 파일 복구하기

FTK Imager를 미리 설치해 놓습니다.

1. FTK Imager 로 USB 파일 복구하기

 

먼저 실험에 쓰일 USB와 파일들을 준비해놓습니다.

 

 

복구를 위해서 파일들을 삭제 해 줍니다.

 

 

 

FTK Imager를 실행시켜서 file => Create Disk Image를 선택해 줍니다.

 

 

 

Pysical Drive => 복구하려는 USB를 선택해 준 뒤 finish 를 선택해줍니다.

 

 

Add... 를 누른 다음 E01을 클릭하고 다음을 누릅니다.

 

 

 

저장할 이미지에 대한 정보들을 입력해준 뒤 저장 경로를 지정한 다음 Finish를 선택해줍니다.

 

 

Start를 누르면 이미지 디스크를 만들기 시작합니다.

 

 

 

컴퓨터 성능과 USB 용량에 따라 이미지 만드는 시간이 다를 수 있습니다. 

 

 

 

이미지 생성 및 검증이 되면 다음과 같이 화면이 뜹니다.

 

 

 

 

FTK Imager를 실행시켜서 file => Add Evidence Item  를 선택해 줍니다.

 

 

만든 이미지 파일을 불러올 것이므로 Image File을 선택한 뒤 다음을 눌러 줍니다.

 

 

 

생성해 놓은 이미지 파일을 선택해 줍니다.

 

 

 

이미지 이름 => Partition1 => ESD-USB => root에 삭제한 데이터를 볼 수 있습니다.