Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad

Forensik av Windows Volume Shadow Copies

Analys av Windows VSCs underlättas med iSCSI Initiator.

I Windows Vista och Windows 7 används en tjänst som kallas för Volume Snapshot Service (VSS) för att spara gamla versioner av filer så att de kan återställas. I standardfallet reserveras 15% av diskutrymmet åt VSS, men upp till 30% kan användas. I Windows 7 Home edition kan sparade filerna endast användas till en "system restore", men i Professional-versionen kan användaren gå tillbaka till en viss version av en fil genom att högerklicka på den. Alla filrevisioner sparas dock inte.

Självklart är VSC-filer (Volume Shadow Copies) intressanta då en forensisk analys görs av en disk. Ett problem är att det kan vara svårt att extrahera ut VSC-filer från en "disk image". En lösning beskrivs av Corey Harrell där "Windows 7 iSCSI Initiator" och två VMWare-instanser används. En riktigt smart lösning som underlättar hanteringen av VSC-filer.

För den som är intresserad av VSC kan det vara värt att hålla ett öga på libvshadow-projektet (se nedan).

Mer information:

http://journeyintoir.blogspot.se/2012/05/more-about-volume-shadow-copies.html

http://code.google.com/p/libvshadow/

http://en.wikipedia.org/wiki/Shadow_Copy