Nu ska vi analysera data och söka efter spår i kopian av den misstänktes data.

1. Vi öppnar Accessdata FTK imager. och under File-menyn väljer vi ”Add Evidence Item”.

skärmbild

2. Jag väljer min spegelkopia som heter USB_Kingston.001

skärmbild

3. Nu kan vi klicka på roten i bevisträdet – Evidence Tree – på spegelkopian. Då kan vi se tre raderade bildfiler under fillistan till höger.

skärmbild

4. Vi exporterar de raderade bilderna till en mapp som vi skapat på skrivbordet och döpt till ”Raderade filer”.

skärmbild

5. Vi lyckades återställa alla tre raderade bilder.

skärmbild