볼륨 섀도 카피 분석 :: Volume Shadow Copy Analysis
* VSC 배경
- 핵심적인 윈도우 시스템 파일을 백업해서 시스템 복원을 돕기 위해 윈도우 XP(시스템복원지점:System Recovery Point) 출시와 함께 도입
- 윈도우 Vista 출시 후 VSS 지원기능 확대 : "블록-레벨", "스냅샷(수정된 정보만 저장)" 기능 등
* VSC 활용
- 삭제된 파일 복구/흔적 확인 : filelist.xml에 <Include>되어 있는 파일들은 삭제될 경우 복사본인 백업 파일 생성 됨, Shift+Del 삭제는 흔적만 확인 가능
- 설치/제거된 프로그램 목록 : 삭제된 파일과 마찬가지로 윈도우 설치관리자에 의해 설치/삭제된 프로그램 목록도 확인 가능
- 악의적인 드라이버 설치 흔적 : WHQL에 의해 인증되지 않은 드라이버를 설치 시 복원지점 생성
- 악성코드 삭제 흔적 : PE 파일은 기본적으로 filelist.xml에 <Include>. <Exclude>된 디렉터리가 아닌 곳에서 실행/삭제했다면 복사본이 복원지점에 저장
* 레지스트리 키
- HKLM\System\CurrentControlSet\Services\VSS
- HKLM\System\CurrentControlSet\Control\BackupRestore : FileNotToBackup, FileNotToSnapshot, KeysNotToRestore
* VSC 확인
1. 명령어를 이용한 확인
- CMD창(관리자권한실행)에 "vssadmin list shadows" 입력하여 VSC 목록 확인
- "mklink /d c:\vsc [섀도복사본볼륨, 흰색 음영부분]\" 입력하여 VSC에 대한 심볼릭 링크 생성
※ 주의 : VSC 구분자 끝에 백슬래시(\) 확인 필수
- 해당 폴더(c:\vsc) 이동하여 탐색
- VSC에 대한 작업 종료 후 "rmdir c:\vsc" 입력하여 심볼릭 링크 제거
- 다른 볼륨(d드라이브)의 VSC 목록을 확인하고 싶으면 "vssadmin list shadows /for=d:"
'윈도우 포렌식' 카테고리의 다른 글
| 크롬 브라우저 계정정보 추출(비밀번호 복호화) (0) | 2022.10.28 |
|---|---|
| 윈도우 MFT 분석 analyzeMFT 도구 사용 (0) | 2022.10.26 |
| 카카오톡 대화내용 복구(Kakaotalk.db) (0) | 2022.10.17 |
| EnCase 해시 셋(Hash Set) 만들기 (0) | 2022.10.14 |
| [포렌식] 쉘백 분석(Shellbag analysis) (0) | 2022.10.11 |
댓글