[디지털 포렌식] FTK Imager 실습

FTK Imager 사용법

- 설치

아래 링크를 통해 FTK Imager 설치가 가능하다
https://www.exterro.com/top-10-most-underrated-ftk-features-2

Exterro Thank You Page - Exterro

- 보기 창

• Evidence Tree View : 계층적 트리 구조로 추가한 증거 항목을 보여줌
• File List : 현재 Evidence Tree 창에 선택된 항목에 있는 파일과 폴더를 보여줌
• Properties / Hex Value Interpreter / Custom content Sources : Evidence Tree 창이나 File List 창에서 현재 선택된 객체의 다양한 정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜와 시간 값으로 변환하고, Custom Content 이미지에 포함된 내용을 각각 보여줌
• Viewer : Preview Mode 옵션인 Natural, Text, Hex 선택에 따라 현재 선택된 파일의 내용을 보여줌

- FTK Imager 기능

FTK Imager을 사용해 이미지 파일을 생성하기 전에 일부 증거를 미리 볼 수 있음
Add to Custom Content(AD1) image를 선택해 전체 증거 객체나 특정 객체를 선택할 수 있음

참고 : https://k-dfc.tistory.com/34

디스크 파일 덤프 + 파티션 삭제하고 내용 복구해보기

다음 사진들을 삭제하고 복구할 것이다.
먼저 아래 사진들을 삭제해주었다.

1) File -> Create Disk Image
Logical Drive 선택하기

2) Drive 선택

3) Add 선택

4) E01 선택

5) 정보 입력 (넘어가도 괜찮음)

6) 이미지 저장할 폴더, 파일 이름 작성

7) start 누르고 이미지 create하기

- create 완료

다음과 같은 정보를 확인할 수 있다.

그리고 저장한 폴더에 가보면 다음과 같이 image.E01이 저장되어 있는 것을 확인할 수 있다.

8) File -> Add Evidence item
Logical Drive 선택

9) Drive 선택

10) 삭제된 파일을 확인할 수 있다

- 삭제된 파일을 클릭하고 Export Files 선택
Export가 완료되면 다음과 같은 팝업창이 뜬다

11) 폴더 확인 (복구 확인)

여기서 1은 찾을 수 없었다. (혼자 PNG파일이여서 그런 것 같기도)

이렇게 사진을 복구해보았다.