Volume Shadow Copy Services (VSS) Analizi
Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça önemli ve geçmişte yazılmış bilgileri, artifackleri, silinen veya değiştirilen dosyaları bulmamıza olanak sağlayacaktır.
Volume Shadow Copy, Microsoft tarafından, Windows Vista ve sonraki işletim sistemi sürümlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesini sağlayan bir Windows özelliğidir. (Snapshot, kısa süreli çalışmalar öncesinde alınan bir backup türüdür bu sayede belirtilen zamana göre makineyi geri döndürebiliriz.) Volume Shadow Copy özelliği aktif edilebilmesi için NTFS bir volüme sahip olmak gerekir. Shadow Copy ile alınan içerikler read only özelliğine sahiptir yani volüme shaodw Copy ile alınan dosya ve klasörler değiştirilemez. Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Bundan dolayı Windows default diskin yaklaşık %15’ini Volume Shadow kısmına ayırır. Ayrılan alan doldurulduğunda eski volüme shadow copy silinmektedir.
Volume Shadow Copy Analizi,
Bu Windows özelliği önceki Windows sisteme geri dönmesine olanak tanır. Bu özellik sayesinde Adli Bilişim incelemeleri açısından bu özellik oldukça önemli ve geçmişte yazılmış bilgileri, registry keyleri, silinen veya değiştirilen dosyaları bulmak için faydalı olacaktır. Çokça kullanılan anti-forenscis tekniklerinden biri olan dosya veya klasörü wipe etme olduğunu biliyoruz kullanıcı wipe etmiş olsa bile Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Shadow Copy analizinde wipe edilen dosya veya klasör volüme shadow copy bulunabilir. VSS kullanılarak Registry keyler, dosyalar, log dosyaları gibi kritik bilgiler kurtarılabilir.
Prodiscover Forensics veya Microsoft sistem toolları olan vssadmin, mklink gibi araçlar kullanılarak Volume Shadows Copy dosyalarına erişebilir ve analiz işlemi gerçekleştirilebilir.
“vssadmin list shadows” komutu ile tüm shadow Copyler listelenir.
vssadmin list shadows /for=c:
komutu ile c sürücüsü üzerinde volumeshadows copyleri listeler
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy4windowssystem32configSYSTEM E:BelgelerDesktop
bu komut ile 4/25/2022 12:12:30 PM Creation ed’len VolumeShadowCopy4 içerisinde bulunan SYSTEM hive dosyasını alabiliriz. Çeşitli toollar ile analizi gerçekleştirebiliriz.
Eğer tüm volumeshodws copy almak istiyorsak mklink aracını kullanmamız gerekecektir bu araç Windows sistemlerde default olarak gelmektedir. mklink ile sembolik veya sabit bağlantı bir dizin veya dosya oluşturulabilir. [1]
Parametreler :
/D = Yerel ve Ağ üzerindeki bir dizin için sembolik link oluşturur. Mklink ’de herhangi parametre girmezseniz default olarak bu parametreyle işlem yapacaktır.
/J = Yerel bağlantı oluşturur. Yani bu komutla yapacağınız bağlantıları sadece yerel olarak olarak kullanabilirsiniz.
/H = Doğrudan dizin yerine dosyaya odaklı bir bağlantı oluşturur.
mklink ile shadows copyleri görmek için;
mklink /d shadows3 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3
komutunu çalıştırabiliriz.
Görüldüğü gibi commadline bulunana dizin üzerine shadows copy mizi oluşturduk.
Silinmiş dosya registry gibi dosyalarımızı buradan rahatlıkla görebiliriz.
Burada alınan shadow copyleri daha önceki blog yazılarımda anlattığım gibi istediğimiz artifacklerin analizlerini gerçekleştirebiliriz.