Volume Shadow Copies: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Volume Shadow Copy (VSC):
'''Volume Shadow Copy (VSC):'''<br>
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS. VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert.
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS. VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert.<br>
VSS hat folgende Aufgaben:
 
VSS hat folgende Aufgaben:<br>


* erstellt automatisch oder manuell Snapshots des Dateisystems
* erstellt automatisch oder manuell Snapshots des Dateisystems
Zeile 9: Zeile 10:
* jeder Versionsstand wird 90 Tage gespeichert   
* jeder Versionsstand wird 90 Tage gespeichert   
* ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht  
* ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht  
 
'''
Forensischer Wert:  
Forensischer Wert:''' <br>
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.



Version vom 1. August 2020, 20:33 Uhr

Volume Shadow Copy (VSC):
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS. VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert.

VSS hat folgende Aufgaben:

  • erstellt automatisch oder manuell Snapshots des Dateisystems
  • speichert Änderungen an Ordnern und Dateien
  • pflegt bis zu 64 Versionsstände
  • läuft standardmäßig alle 7 Tage oder vor Systemupdates
  • jeder Versionsstand wird 90 Tage gespeichert
  • ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht

Forensischer Wert:
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.

Wichtige Kommandos für einen Überblick bei einem Livesystem oder Virtualisierung: Anzeigen geeigneter Partitionen: vssadmin list volumes Anzeigen Speicherverbrauch: vssadmin list shadowStorage Anzeigen gespeicherter VSC: vssadmin list shadows

Speicherort: VSCs werden in der jeweiligen Partition im Ordner "System Volume Information" abgelegt.

Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich.