윈도우 기반 VSC 접근 및 분석 (1)

→ VSC(Volume Shadow Copies) 접근 전 레지스트리 키 값을 확인해야 한다.

HKLM\System\CurrentControlSet\Services\VSS

HKLM\System\CurrentControlSet\Control\BackupRestore

FileNotToBackup : 백업 애플리케이션이 백업하거나 복원하지 말아야 할 파일과 디렉토리의 목록 정리

FileNotToSnapshot : 새로 생성된 섀도 카피에서 삭제되어야 하는 파일의 목록 정리

KeysNotToRestore : 복원되지 말아야 하는 서브키와 밸류의 목록 정리

→ 동작 중인 윈도우 시스템에서 VSC에 접근하기 위해선 vssadmin 명령어를 이용할 수 있다.

C:\>vssadmin list shadows /for=c:

→ 섀도 복사본 볼륨의 값을 확인한 후, 아래와 같이 C:\vsc 에 링크를 생성한다.

mklink /d C:\vsc \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

→ C:\vsc 폴더에 접근하면, 링크를 만든 섀도 복사본 볼륨에 아래와 같이 접근 하여 분석이 가능하다.

→ 분석이 끝나면 아래와 같은 명령어로 링크를 삭제한다.

rmdir C:\vsc

→ "https://www.shadowexplorer.com/" 에서 shadowExplorer 프로그램을 이용하여 VSC에 접근이 가능하기도 하다.

→ 그러나, ShadowExplorer는 자신이 설치된 볼륨이나 드라이브에 있는 VSC만 보여주는 단점이 존재한다. 따라서, D:\ 드라이브의 VSC를 보고싶으면 설치 파일을 다시 실행해서 그것을 해당 드라이브에 재설치해야 한다.

→ 그 밖에, 여러 포렌식 분석 상용 도구를 이용하여도 분석이 가능하다.