Volume Shadow Copies

Aus IT-Forensik Wiki
Version vom 2. August 2020, 17:48 Uhr von St191436 (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Volume Shadow Copy (VSC):
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS.

VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert. VSS hat folgende Aufgaben:

  • erstellt automatisch oder manuell Snapshots des Dateisystems
  • speichert Änderungen an Ordnern und Dateien
  • pflegt bis zu 64 Versionsstände
  • läuft standardmäßig alle 7 Tage oder vor Systemupdates
  • jeder Versionsstand wird 90 Tage gespeichert
  • ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht

Forensischer Wert:
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.

Wichtige Kommandos für einen Überblick bei einem Livesystem oder Virtualisierung:
Anzeigen geeigneter Partitionen: vssadmin list volumes
Anzeigen Speicherverbrauch: vssadmin list shadowStorage
Anzeigen gespeicherter VSC: vssadmin list shadows

Speicherort:
VSCs werden in der jeweiligen Partition im Ordner "System Volume Information" abgelegt.

Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich. Dazu wird die VSC als zusätzliche Quelle in die forensische Software geladen. Die Inhalte können dann analog der Daten z.B. von Festplattenimages untersucht werden.

Quellen:
Vssadmin - Eine Übersicht über die vssadmin-Befehle:
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/vssadmin

Volumeschattenkopie-Dienst:
https://docs.microsoft.com/de-de/windows-server/storage/file-server/volume-shadow-copy-service

Andrea Fortuna - "Volume Shadow Copies in forensic analysis":
https://www.andreafortuna.org/2017/10/02/volume-shadow-copies-in-forensic-analysis/

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Volume_Shadow_Copies&oldid=1438