[EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 볼륨 새도우 카피(VSC) 분석 마지막 시간입니다. 어제 오늘 너무 덥네요. 비라도 시원하게 내렸으면 좋겠어요. 모두 화이팅 하세요.

 

볼륨 새도우 카피에 대하여 이미징 하기

DD를 이용하여 이미징을 합니다.

George Garner의 dd (http://www.chrysocome.net/dd)를 다운로드합니다.

dd if=\\.\HarddiskVolumeShadowCopy# of=vss.img –localwrt

- #은 숫자입니다.

- 새도우 카피가 여러 개 있을 경우 이미징 용량이 대용량일 수 있으므로 이미지 파일을 저장한 충분한 공간이 미리 확보해 두어야 합니다.

 

 

VSC 데이터를 마운트 하기

윈도우에서는 VSC 데이터를 virtual network share로 마운트 할 수 있습니다.

조사 분석을 용이하게 하기 위해, mklink 명령어를 이용하여 VSS 데이터를 임의로 생성한 디렉토리로 마운트시킵니다.

읽기 전용 모드로 지정된 마운트 포인트를 통해 볼륨 새도우 카피의 내용에 접근할 수 있게 됩니다

 

 

VSC 데이터 마운트 해제하기

분석대상 새도우 카피와 연결된 링크를 삭제하면 됩니다.

fsutil reparsepoint delete c:\vss\000

 

 

VSS Examiner EnScript 모듈 사용하기

PDE를 실행시켜, VSC를 분석관의 로컬머신에 마운트 시킵니다.

vss examiner EnScript를 실행하여, 마운트된 VSC에 대한 압수할 데이터 선별작업(Conditions 만들기)을 실행합니다.

실행 결과물은 논리이미지(.LEF)로 만들어 현재의 Case에 바로 추가시킵니다.

 

 

EnScript 실행 결과는 Console 창에서 확인 가능합니다.

Case에 추가된 논리이미지 안에는 VSC에 대한 정보를 포함하는 텍스트 파일(Volume Shadow Copy Information.txt)이 포함되어 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics