Volume Shadow Copies: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Volume Shadow Copy (VSC): Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. V…“) |
Keine Bearbeitungszusammenfassung |
||
| (14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Volume Shadow Copy (VSC): | '''Volume Shadow Copy (VSC):'''<br> | ||
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS. VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert. | Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS. <br> | ||
VSS hat folgende Aufgaben: | |||
VSC ist als Windows-Dienst ('''Volume Shadow Copy Service - VSS''') implementiert. VSS hat folgende Aufgaben:<br> | |||
* erstellt automatisch oder manuell Snapshots des Dateisystems | * erstellt automatisch oder manuell Snapshots des Dateisystems | ||
| Zeile 8: | Zeile 9: | ||
* läuft standardmäßig alle 7 Tage oder vor Systemupdates | * läuft standardmäßig alle 7 Tage oder vor Systemupdates | ||
* jeder Versionsstand wird 90 Tage gespeichert | * jeder Versionsstand wird 90 Tage gespeichert | ||
* ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht | * ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht <br> | ||
'''Forensischer Wert:''' <br> | |||
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.<br> | |||
'''Wichtige Kommandos für einen Überblick''' bei einem Livesystem oder Virtualisierung:<br> | |||
Anzeigen geeigneter Partitionen: ''vssadmin list volumes''<br> | |||
Anzeigen Speicherverbrauch: ''vssadmin list shadowStorage''<br> | |||
Anzeigen gespeicherter VSC: ''vssadmin list shadows''<br> | |||
'''Speicherort:'''<br> | |||
VSCs werden in der jeweiligen Partition im Ordner ''"System Volume Information"'' abgelegt.<br> | |||
Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich. | |||
Dazu wird die VSC als zusätzliche Quelle in die forensische Software geladen. Die Inhalte können dann analog der Daten z.B. von Festplattenimages untersucht werden.<br> | |||
Eine | '''Quellen:'''<br> | ||
Vssadmin - Eine Übersicht über die vssadmin-Befehle:<br> | |||
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/vssadmin<br><br> | |||
Volumeschattenkopie-Dienst:<br> | |||
https://docs.microsoft.com/de-de/windows-server/storage/file-server/volume-shadow-copy-service<br><br> | |||
Andrea Fortuna - "Volume Shadow Copies in forensic analysis":<br> | |||
https://www.andreafortuna.org/2017/10/02/volume-shadow-copies-in-forensic-analysis/ | |||
Aktuelle Version vom 2. August 2020, 17:48 Uhr
Volume Shadow Copy (VSC):
Volume Shadow Copy ist verfügbar im Microsoft Windows Betriebssystem seit Microsoft Windows XP bzw. Microsoft Windows Server 2003. VSC ist ein integraler Bestandteil des Betriebssystems zur Erstellung von manuellen oder automatisierten Sicherungen und Snapshots von Dateien oder Dateisystemen während diese in Benutzung sind. Voraussetzung ist das Dateisystem NTFS.
VSC ist als Windows-Dienst (Volume Shadow Copy Service - VSS) implementiert. VSS hat folgende Aufgaben:
- erstellt automatisch oder manuell Snapshots des Dateisystems
- speichert Änderungen an Ordnern und Dateien
- pflegt bis zu 64 Versionsstände
- läuft standardmäßig alle 7 Tage oder vor Systemupdates
- jeder Versionsstand wird 90 Tage gespeichert
- ältere Kopien werden bei geringem Speicherplatz zuerst gelöscht
Forensischer Wert:
Windows Shadow Copies erlauben den Zugriff auf Daten, die evtl. bereits gelöscht wurden oder anderweitig nicht mehr zugreifbar sind. Weiterhin können auch bei mehreren Versionsständen Veränderungen an Dateien über die Zeit nachvollzogen werden.
Wichtige Kommandos für einen Überblick bei einem Livesystem oder Virtualisierung:
Anzeigen geeigneter Partitionen: vssadmin list volumes
Anzeigen Speicherverbrauch: vssadmin list shadowStorage
Anzeigen gespeicherter VSC: vssadmin list shadows
Speicherort:
VSCs werden in der jeweiligen Partition im Ordner "System Volume Information" abgelegt.
Eine Aufbereitung durch x-Ways, FTK, Axiom, ShadowCopyView oder ShadowExplorer ist möglich.
Dazu wird die VSC als zusätzliche Quelle in die forensische Software geladen. Die Inhalte können dann analog der Daten z.B. von Festplattenimages untersucht werden.
Quellen:
Vssadmin - Eine Übersicht über die vssadmin-Befehle:
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/vssadmin
Volumeschattenkopie-Dienst:
https://docs.microsoft.com/de-de/windows-server/storage/file-server/volume-shadow-copy-service
Andrea Fortuna - "Volume Shadow Copies in forensic analysis":
https://www.andreafortuna.org/2017/10/02/volume-shadow-copies-in-forensic-analysis/
