Volume Shadow Copies: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
* läuft standardmäßig alle 7 Tage oder vor Systemupdates   
* läuft standardmäßig alle 7 Tage oder vor Systemupdates   
* jeder Versionsstand wird 90 Tage gespeichert   
* jeder Versionsstand wird 90 Tage gespeichert   
* ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht  
* ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht <br>
<br>
'''Forensischer Wert:''' <br>
'''Forensischer Wert:''' <br>
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.<br>


Wichtige Kommandos für einen Überblick bei einem Livesystem oder Virtualisierung:
'''Wichtige Kommandos für einen Überblick''' bei einem Livesystem oder Virtualisierung:<br>
Anzeigen geeigneter Partitionen:      vssadmin list volumes
Anzeigen geeigneter Partitionen:      ''vssadmin list volumes''<br>
Anzeigen Speicherverbrauch:            vssadmin list shadowStorage  
Anzeigen Speicherverbrauch:            ''vssadmin list shadowStorage''<br>
Anzeigen gespeicherter VSC:            vssadmin list shadows  
Anzeigen gespeicherter VSC:            ''vssadmin list shadows''<br>


Speicherort:  
'''Speicherort:'''<br>
VSCs werden in der jeweiligen Partition im Ordner "System Volume Information" abgelegt.
VSCs werden in der jeweiligen Partition im Ordner ''"System Volume Information"'' abgelegt.<br>


Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich.
Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich.
Dazu wird die VSC als zusätzliche Quelle in die forensische Software geladen. Die Inhalte können dann analog der Daten z.B. von Festplattenimages untersucht werden.<br>
'''Quellen:'''<br>
Vssadmin - Eine Übersicht über die vssadmin-Befehle:<br>
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/vssadmin<br><br>
Volumeschattenkopie-Dienst:<br>
https://docs.microsoft.com/de-de/windows-server/storage/file-server/volume-shadow-copy-service<br><br>
Andrea Fortuna - "Volume Shadow Copies in forensic analysis":<br>
https://www.andreafortuna.org/2017/10/02/volume-shadow-copies-in-forensic-analysis/

Aktuelle Version vom 2. August 2020, 16:48 Uhr

Volume Shadow Copy (VSC):
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS.

VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert. VSS hat folgende Aufgaben:

  • erstellt automatisch oder manuell Snapshots des Dateisystems
  • speichert Änderungen an Ordnern und Dateien
  • pflegt bis zu 64 Versionsstände
  • läuft standardmäßig alle 7 Tage oder vor Systemupdates
  • jeder Versionsstand wird 90 Tage gespeichert
  • ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht

Forensischer Wert:
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.

Wichtige Kommandos für einen Überblick bei einem Livesystem oder Virtualisierung:
Anzeigen geeigneter Partitionen: vssadmin list volumes
Anzeigen Speicherverbrauch: vssadmin list shadowStorage
Anzeigen gespeicherter VSC: vssadmin list shadows

Speicherort:
VSCs werden in der jeweiligen Partition im Ordner "System Volume Information" abgelegt.

Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich. Dazu wird die VSC als zusätzliche Quelle in die forensische Software geladen. Die Inhalte können dann analog der Daten z.B. von Festplattenimages untersucht werden.

Quellen:
Vssadmin - Eine Übersicht über die vssadmin-Befehle:
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/vssadmin

Volumeschattenkopie-Dienst:
https://docs.microsoft.com/de-de/windows-server/storage/file-server/volume-shadow-copy-service

Andrea Fortuna - "Volume Shadow Copies in forensic analysis":
https://www.andreafortuna.org/2017/10/02/volume-shadow-copies-in-forensic-analysis/