안녕하세요. 도깬리 포렌식스 입니다.
오늘부터는 볼륨 새도우 카피 서비스 (Volume Shadow Copy Service) 데이터에 대한 분석 방법론을 알아보겠습니다. 다소 난이도가 높아 깊은 이해를 필요로 합니다. 화이팅 하세요.
VSC개요
Volume Shadow Copy는 파일시스템 쓰기가 계속 진행 되는 동안 볼륨 백업을 생성하게 합니다.
System restore point가 생성되었거나 윈도우 백업 어플리케이션으로 백업을 생성하였을 때 VSC를 사용하여 백업되었던 과거의 파일을 복구할 수 있습니다.
VSC의 구성요소
VSC Service
VSC Requester
- System Restore와 Windows Backup 어플리케이션은 여기에 해당합니다.
VSC Writer
VSC Provider
VSC Provider가 Shadow Copy를 생성하는 3가지 방법
Complete Copy
볼륨에 대한 미러 이미지를 만듭니다.
Copy-on-write
16KB 블록 단위로 차등사본(differential copy)을 만듭니다.(Redirect-on-write도 같음)
볼륨의 블록에 쓰여지는 I/O 정보를 가로채어, 디스크에 쓰여지기 이전에 differential area에 먼저 저장합니다.
Shadow Copy에 의해 생성된 differential data는 differential area에 쓰여집니다.
Redirect-on-write
Shadow Copy에 의해 생성된 differential data는 다른 볼륨의 differential area에 쓰여집니다.
System Restore
System Restor의 설정은 다음 레지스트리에서 가능합니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP
Clients 레지스트리 키에서 시스템 설정 복원 기능(System Protection)과 이전 버전 파일 복원 기능(Previous versions)이 특정볼륨에 지원되는지에 대한 설정값을 갖고 있습니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
이전 버전(Previous versions) 파일 복원의 개요도
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (3) (0) | 2022.07.31 |
|---|---|
| [EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (2) (0) | 2022.07.29 |
| [EnCase] 메모리 포렌식(RAM Forensics) (3) (0) | 2022.07.25 |
| [EnCase] 메모리 포렌식(RAM Forensics) (2) (0) | 2022.07.22 |
| [EnCase] 메모리 포렌식(RAM Forensics) (1) (0) | 2022.07.19 |