FTK Imager 디스크 이미지

→ 테스트 USB에 "disk_test" 폴더를 생성한 후, "1234.txt" 문서를 아래와 같이 작성한다.

→ 생성한 폴더와 파일을 삭제한다. (Shift+Del)

→ FTK Imager 프로그램을 실행한 후, [File] - [Create Disk Image...] 메뉴에 접근하고, [Physical Drive]를 선택한 후, [다음]을 클릭한다.

→ 대상 드라이브를 선택한 후, [Finish]를 클릭한다.

→ 아래 그림의 [Add]를 클릭한다.

→ [Raw] Type 으로 진행한다.

→ Disk Image 기입 정보를 입력한 후, [다음]을 클릭한다.

→ 이미지를 저장할 위치를 설정한 후, [Finish]를 클릭한다.

→ [Verify images after they are created] 옵션을 클릭한 후, [Start]를 클릭한다.

→ 이미지 생성을 시작했으며, 완료까지 기다린다.

→ 이미지 생성이 후, 이미지 무결성 Hash 값 검증 결과 레포트를 받으면 완료된다.

→ 이미지를 불러오기 위해선, FTK Imager 프로그램에서 [File] - [Add Evidence Item...] 메뉴에 접근하고 Type에서 [Image File]을 선택한다.

→ 불러올 이미지 파일의 경로를 입력한 후, [Finish]를 클릭한다.

→ 삭제한 "disk_test" 폴더의 Name, Size, Type, Date Modified 값 등을 확인할 수 있다. 여기에선 "1234.txt"는 복구되지 않았다.