Volume Shadow Copy Services (VSS) Analizi

Volume Shadow Copy Services (VSS) Analizi



Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça önemli ve geçmişte yazılmış bilgileri, artifackleri, silinen veya değiştirilen dosyaları bulmamıza olanak sağlayacaktır.

 

Volume Shadow Copy, Microsoft tarafından, Windows Vista ve sonraki işletim sistemi sürümlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesini sağlayan bir Windows özelliğidir. (Snapshot, kısa süreli çalışmalar öncesinde alınan bir backup türüdür bu sayede belirtilen zamana göre makineyi geri döndürebiliriz.) Volume Shadow Copy özelliği aktif edilebilmesi için NTFS bir volüme sahip olmak gerekir. Shadow Copy ile alınan içerikler read only özelliğine sahiptir yani volüme shaodw Copy ile alınan dosya ve klasörler değiştirilemez. Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Bundan dolayı Windows default diskin yaklaşık %15’ini Volume Shadow kısmına ayırır. Ayrılan alan doldurulduğunda eski volüme shadow copy silinmektedir.

 

 

 

 

Volume Shadow Copy Analizi,

Bu Windows özelliği önceki Windows sisteme geri dönmesine olanak tanır. Bu özellik sayesinde Adli Bilişim incelemeleri açısından bu özellik oldukça önemli ve geçmişte yazılmış bilgileri, registry keyleri, silinen veya değiştirilen dosyaları bulmak için faydalı olacaktır. Çokça kullanılan anti-forenscis tekniklerinden biri olan dosya veya klasörü wipe etme olduğunu biliyoruz kullanıcı wipe etmiş olsa bile Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Shadow Copy analizinde wipe edilen dosya veya klasör volüme shadow copy bulunabilir. VSS kullanılarak Registry keyler, dosyalar, log dosyaları gibi kritik bilgiler kurtarılabilir.

Prodiscover Forensics veya Microsoft sistem toolları olan vssadmin, mklink gibi araçlar kullanılarak Volume Shadows Copy dosyalarına erişebilir ve analiz işlemi gerçekleştirilebilir.

“vssadmin list shadows” komutu ile tüm shadow Copyler listelenir.

 

vssadmin list shadows /for=c:

komutu ile c sürücüsü üzerinde volumeshadows copyleri listeler

 

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy4windowssystem32configSYSTEM E:BelgelerDesktop

bu komut ile 4/25/2022 12:12:30 PM Creation ed’len  VolumeShadowCopy4 içerisinde bulunan SYSTEM hive dosyasını alabiliriz. Çeşitli toollar ile analizi gerçekleştirebiliriz.

 

 Eğer tüm volumeshodws copy almak istiyorsak mklink aracını kullanmamız gerekecektir bu araç Windows sistemlerde default olarak gelmektedir. mklink ile sembolik veya sabit bağlantı bir dizin veya dosya oluşturulabilir. [1]

Parametreler :

/D = Yerel ve Ağ üzerindeki bir dizin için sembolik link oluşturur. Mklink ’de herhangi parametre girmezseniz default olarak bu parametreyle işlem yapacaktır.

/J = Yerel bağlantı oluşturur. Yani bu komutla yapacağınız bağlantıları sadece yerel olarak olarak kullanabilirsiniz.

/H = Doğrudan dizin yerine dosyaya odaklı bir bağlantı oluşturur.

 

mklink ile shadows copyleri görmek için;

mklink /d shadows3 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy3

komutunu çalıştırabiliriz.

 

Görüldüğü gibi commadline bulunana dizin üzerine shadows copy mizi oluşturduk.

Silinmiş dosya registry gibi dosyalarımızı buradan rahatlıkla görebiliriz.

Burada alınan shadow copyleri daha önceki blog yazılarımda anlattığım gibi istediğimiz artifacklerin analizlerini gerçekleştirebiliriz.

 

Comments

  1. Rastrear Teléfono Celular

    Rastreador de teléfono celular – Aplicación de rastreo oculta que registra la ubicación, SMS, audio de llamadas, WhatsApp, Facebook, fotos, cámaras, actividad de Internet. Lo mejor para el control parental y la supervisión de empleados. Rastrear Teléfono Celular Gratis – Programa de Monitoreo en Línea.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir