-
윈도우 기반 VSC 접근 및 분석 (1)CERT/Forensic 2019. 3. 7. 11:29
→ VSC(Volume Shadow Copies) 접근 전 레지스트리 키 값을 확인해야 한다. HKLM\System\CurrentControlSet\Services\VSS HKLM\System\CurrentControlSet\Control\BackupRestore FileNotToBackup : 백업 애플리케이션이 백업하거나 복원하지 말아야 할 파일과 디렉토리의 목록 정리 FileNotToSnapshot : 새로 생성된 섀도 카피에서 삭제되어야 하는 파일의 목록 정리 KeysNotToRestore : 복원되지 말아야 하는 서브키와 밸류의 목록 정리 → 동작 중인 윈도우 시스템에서 VSC에 접근하기 위해선 vssadmin 명령어를 이용할 수 있다. C:\>vssadmin list shadows /for=c..