윈도우 포맷 후 사라진 즐겨찾기 포렌식으로 되살리는 매우 쉬운 방법

윈도우 포맷 후 사라진 즐겨찾기 포렌식으로 되살리는 매우 쉬운 방법

 

목차

1. 윈도우 포맷과 데이터 삭제의 원리
2. 포맷 전 즐겨찾기 경로 확인의 중요성
3. 포렌식 복구 도구를 활용한 즐겨찾기 복원 준비
4. 단계별 매우 쉬운 즐겨찾기 복구 절차
5. 복구 성공률을 높이기 위한 필수 주의사항
6. 복구된 즐겨찾기 데이터 재적용 방법

1. 윈도우 포맷과 데이터 삭제의 원리

• 빠른 포맷의 특성: 일반적인 윈도우 재설치 시 사용하는 빠른 포맷은 데이터를 완전히 삭제하는 것이 아니라 파일의 위치 정보(인덱스)만 초기화합니다.
• 데이터 잔존 가능성: 인덱스가 사라졌더라도 실제 데이터 값은 하드디스크나 SSD의 셀에 남아 있어 포렌식 기법으로 접근이 가능합니다.
• 덮어쓰기(Overwriting) 주의: 포맷 후 새로운 윈도우 파일이 설치되면서 기존 즐겨찾기 데이터가 있던 영역을 덮어쓰게 되면 복구 확률이 급격히 낮아집니다.

2. 포맷 전 즐겨찾기 경로 확인의 중요성

• 인터넷 익스플로러/엣지(구버전): C:\Users\사용자계정\Favorites 경로에 파일 형태로 저장됩니다.
• 구글 크롬(Chrome): C:\Users\사용자계정\AppData\Local\Google\Chrome\User Data\Default 경로 내에 'Bookmarks'라는 이름의 단일 파일로 존재합니다.
• 마이크로소프트 엣지(Chromium): C:\Users\사용자계정\AppData\Local\Microsoft\Edge\User Data\Default 경로의 'Bookmarks' 파일을 확인해야 합니다.
• 복구 대상 설정: 포렌식 복구 시 해당 경로를 집중적으로 스캔하여 효율성을 높일 수 있습니다.

3. 포렌식 복구 도구를 활용한 즐겨찾기 복원 준비

• 전문 복구 소프트웨어 선정: 삭제된 파일의 시그니처를 분석할 수 있는 포렌식 기반 복구 툴(Recuva, PhotoRec, R-Studio 등)을 준비합니다.
• 설치 위치 주의: 복구 툴을 포맷된 드라이브(주로 C드라이브)에 직접 설치하면 복구 대상인 즐겨찾기 데이터를 덮어쓸 위험이 있으므로 반드시 외부 USB나 다른 드라이브에 설치합니다.
• 관리자 권한 실행: 물리적인 디스크 섹터에 직접 접근하기 위해 모든 복구 프로그램은 관리자 권한으로 실행해야 합니다.

4. 단계별 매우 쉬운 즐겨찾기 복구 절차

• 드라이브 스캔 시작: 복구 프로그램을 실행한 후 윈도우가 설치되었던 이전 파티션을 선택합니다.
• 딥 스캔(Deep Scan) 활성화: 단순 스캔으로 파일이 나오지 않을 경우, 파일 헤더 정보를 대조하는 정밀 스캔 기능을 반드시 켭니다.
• 파일 확장자 및 이름 검색:
• 브라우저가 크롬이나 엣지라면 파일명 검색창에 'Bookmarks'를 입력합니다.
• 익스플로러 방식이라면 확장자 '.url'을 검색 조건으로 설정합니다.

• 파일 상태 확인: 검색 결과 리스트에서 파일 상태가 'Excellent' 또는 'Very Good'으로 표시되는 항목을 찾습니다.
• 복구 경로 지정: 복구된 파일을 저장할 때는 반드시 원래 드라이브가 아닌 외부 저장 장치를 선택하여 추출합니다.

5. 복구 성공률을 높이기 위한 필수 주의사항

• PC 사용 최소화: 포맷 직후 즐겨찾기 소실을 인지했다면 즉시 컴퓨터 사용을 중단하고 전원을 끄거나 읽기 전용 상태로 유지해야 합니다.
• 웹 브라우저 실행 금지: 브라우저를 실행하는 순간 새로운 캐시 파일과 설정 파일이 생성되며 이전 즐겨찾기 데이터를 파괴할 수 있습니다.
• SSD의 TRIM 기능: SSD를 사용하는 경우 삭제된 데이터를 정리하는 TRIM 기능이 작동하기 전에 빠르게 복구 작업을 시도해야 합니다.
• 조각 모음 금지: 포맷 후 시스템 최적화를 위해 디스크 조각 모음을 실행하면 데이터 배열이 바뀌어 복구가 불가능해집니다.

6. 복구된 즐겨찾기 데이터 재적용 방법

• 크롬/엣지 복원:

1. 새로 설치된 윈도우의 해당 브라우저 프로필 경로로 이동합니다.
2. 복구된 'Bookmarks' 파일을 해당 폴더에 덮어씌웁니다.
3. 브라우저를 재시작하면 이전 목록이 나타납니다.

• 익스플로러(Favorites) 복원:

1. 복구된 '.url' 파일들을 한곳에 모읍니다.
2. 브라우저의 '즐겨찾기 가져오기' 기능을 통해 해당 폴더를 선택하거나, 윈도우 사용자 폴더의 Favorites 폴더에 직접 복사합니다.

• 동기화 기능 활용: 향후 데이터 유실을 방지하기 위해 구글 계정이나 마이크로소프트 계정의 클라우드 동기화 설정을 활성화하는 것이 권장됩니다.

7. 포렌식 복구의 기술적 이해

• 파일 시그니처 분석: 포렌식 도구는 파일의 확장자가 바뀌더라도 파일 고유의 헤더(Header)와 푸터(Footer) 값을 읽어내어 해당 파일이 즐겨찾기 정보임을 식별합니다.
• 비할당 영역 스캔: 포맷으로 인해 파일 시스템이 초기화되어도 실제 데이터가 담긴 '비할당 영역'을 전수 조사하여 유의미한 정보를 추출합니다.
• MFT(Master File Table) 복구: 윈도우 NT 파일 시스템에서 파일의 메타데이터를 담고 있는 MFT 레코드를 분석하여 파일의 원래 이름과 생성 날짜를 복원합니다.

8. 상황별 맞춤형 복구 전략

• 윈도우를 이미 재설치한 경우: 시스템 업데이트나 프로그램 설치를 최대한 지양하고, 외부 부팅(WinPE) 환경에서 복구 작업을 수행하는 것이 안전합니다.
• 파티션 삭제 후 포맷한 경우: 단순 파일 복구가 아닌 '파티션 복구' 기능을 먼저 사용하여 이전 파일 시스템 구조를 먼저 재구성해야 합니다.
• 파일이 깨져서 복구된 경우: 텍스트 편집기(메모장 등)를 통해 복구된 파일을 열어 내부의 URL 주소만이라도 수동으로 추출하는 시도를 할 수 있습니다.

9. 디지털 포렌식 관점에서의 백업 권장 사항

• 주기적인 내보내기: 브라우저 설정 메뉴의 '즐겨찾기 내보내기' 기능을 통해 HTML 파일 형태로 별도 보관하는 습관이 중요합니다.
• 이미지 백업: 윈도우 포맷 전 시스템 전체를 이미지 파일(.iso 또는 .vhd)로 백업해두면 추후 어떤 데이터라도 완벽하게 포렌식 복구가 가능합니다.
• 계정 동기화의 이점: 로컬 디스크에만 의존하는 저장 방식은 물리적 고장이나 포맷에 취약하므로 서버 기반 저장 방식을 병행하는 것이 가장 쉬운 예방법입니다.