[EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 볼륨 새도우 카피 데이터 분석 2번째 시간입니다. 열대야 때문에 힘든 밤을 보냈네요. 모두 힘내세요.

 

제외된 파일들

볼륨 스냅샷 과정에서 특정 파일들을 제외할 수 있습니다.

제외 대상 파일은 다음 레지스트리 키에 저장됩니다.

HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

위 키에 저장된 파일은 백업을 생성할 때 제외되는 것이 아니라, 복구 시점에서 제외됩니다.

 

 

VSC 데이터

Volume Shadow Copy Service (VSC) 데이터는 System Volume Information 폴더에 저장됩니다.

차등 데이터(differential data)는 파일이름을 GUID로 표시되어 있습니다.

위 차등 데이터를 대상으로 키워드 검색이 가능하나, 데이터가 완전한 파일의 형태가 아니라 16KB 블록 단위로 구성되어 있어, 키워드 검색은 비추천입니다.

 

 

PDE를 사용하여 VSC System Restore 데이터 조사하기

PDE를 사용하여 분석 대상 디스크를 마운트 합니다.

[Device] --> [Share] --> [Mount as Emulated Disk…]

 

 

GUI를 통해 분석 대상 VSC 데이터 보기

PDE를 통해 마운트된 볼륨에서 오른 마우스후 ‘이전 버전’ 메뉴 옵션을 이용하여 모든 볼륨 새도우 카피를 볼 수 있습니다.

윈도우 8이 출시되면서 Previous Versions UI가 제외되었으나, Windows 서버의 공유 볼륨에서는 여전히 존재합니다.

 

 

vssadmin을 사용하여 볼륨 스냅샷에 대한 정보 보기

vssadmin과 Windows Management Instrumentation (WMI)은 모두 특정한 윈도우 시스템상의 볼륨 새도우 카피에 대한 정보를 제공합니다.

Admin 권한으로 vssadmin을 실행해야 합니다.

vssadmin list shadows /for=드라이브문자:

vssadmin 명령의 결과는 단일 새도우 카피를 포함하고 있는 하나의 새도우 카피셋이 있음을 보여줍니다.

새도우 카피를 분석관의 로컬 시스템으로 마운트하거나, 그것을 볼륨으로 채증할 때 사용할 수 있는 ‘볼륨식별자’가 포함되어 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics