◆目的
目的は、WinHex ツールを使用して完全に削除されたファイルを回復する方法を理解できるようにすることです。
◆概要
WinHex ツールについて、アプリケーションに画像をインポートし、指定したファイル タイプのファイルを画像ファイルから回復する方法を理解するのに役立ちます。
1
winhex.exeをダブルクリックしてアプリケーションを起動します。
2
[ファイル] --> [開く]に移動して、証拠ファイルを追加します。
3
「ファイルを開く」ウィンドウが表示されます。[ファイルの種類]ドロップダウン リストから[すべてのファイル]を選択し、 [Linux_Evidence_001.img]を選択します。ファイルを選択したら、「開く」をクリックします。
4
その後、 WinHex評価ポップアップが表示されます。「OK」をクリックしてポップアップを閉じます。
5
WinHex はイメージ ファイルを処理し、ウィンドウの右下隅にデータ インタープリターのポップアップを含む次のウィンドウを表示します。
6
[ツール] --> [ディスク ツール] --> [種類別のファイル回復…]に移動します。
7
WinHexポップアップが表示されたら、「OK」をクリックします。
8
Linux_Evidence_001.img のファイル ヘッダー検索ウィンドウが表示され、抽出するファイルの種類が表示されます。
9
このラボでは、画像を抽出します。したがって、+ノードをクリックしてPicturesフォルダーを展開します。
10
[ピクチャ]フォルダで希望の画像ファイル形式を選択し、[OK]をクリックします。
! 同様に、調査プロセスで他のファイル タイプを選択することもできます。出力は、選択したファイルの種類によって異なる場合があります。
11
「ターゲットフォルダーの選択」ウィンドウが表示されます。取得したファイルを保存する場所 (ここでは、Desktop ) に移動し、 Retrieved Filesという名前のフォルダを作成し、[開く]をクリックします。
12
選択したフォルダーがアプリケーションに表示されます。「OK」をクリックします。
13
リカバリプロセスを開始するには、「Linux_Evidence_001.img のファイルヘッダー検索」ウィンドウで「OK」をクリックします。この操作によりウィンドウが閉じられ、イメージからファイル (指定されたファイル タイプ) の回復が開始されます。
14
回復プロセスが完了したら、[種類別ファイル回復]ポップアップ ウィンドウで [OK] をクリックして、処理ウィンドウを閉じます。
15
回復されたファイルを表示するには、ファイルを保存した宛先フォルダー (ここでは、デスクトップ上のRetrieved Filesです) を開きます。
16
このようにして、 WinHexを使用してフォレンジック イメージからファイルを回復できます。
17
開いているウィンドウをすべて閉じます。