도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 볼륨 새도우 카피(VSC) 분석 마지막 시간입니다. 어제 오늘 너무 덥네요. 비라도 시원하게 내렸으면 좋겠어요. 모두 화이팅 하세요. 볼륨 새도우 카피에 대하여 이미징 하기 DD를 이용하여 이미징을 합니다. George Garner의 dd (http://www.chrysocome.net/dd)를 다운로드합니다. dd if=\\.\HarddiskVolumeShadowCopy# of=vss.img –localwrt - #은 숫자입니다. - 새도우 카피가 여러 개 있을 경우 이미징 용량이 대용량일 수 있으므로 이미지 파일을 저장한 충분한 공간이 미리 확보해 두어야 합니다. VSC 데이터를 마운트 하기 윈도우에서는 VSC 데이터를 virtual network shar..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 볼륨 새도우 카피 데이터 분석 2번째 시간입니다. 열대야 때문에 힘든 밤을 보냈네요. 모두 힘내세요. 제외된 파일들 볼륨 스냅샷 과정에서 특정 파일들을 제외할 수 있습니다. 제외 대상 파일은 다음 레지스트리 키에 저장됩니다. HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot 위 키에 저장된 파일은 백업을 생성할 때 제외되는 것이 아니라, 복구 시점에서 제외됩니다. VSC 데이터 Volume Shadow Copy Service (VSC) 데이터는 System Volume Information 폴더에 저장됩니다. 차등 데이터(differential data)는 파일이름을 GUID로 표시되..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터는 볼륨 새도우 카피 서비스 (Volume Shadow Copy Service) 데이터에 대한 분석 방법론을 알아보겠습니다. 다소 난이도가 높아 깊은 이해를 필요로 합니다. 화이팅 하세요. VSC개요 Volume Shadow Copy는 파일시스템 쓰기가 계속 진행 되는 동안 볼륨 백업을 생성하게 합니다. System restore point가 생성되었거나 윈도우 백업 어플리케이션으로 백업을 생성하였을 때 VSC를 사용하여 백업되었던 과거의 파일을 복구할 수 있습니다. VSC의 구성요소 VSC Service VSC Requester - System Restore와 Windows Backup 어플리케이션은 여기에 해당합니다. VSC Writer VSC Provid..