Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Publicerad

Forensik av Windows Volume Shadow Copies

Analys av Windows VSCs underlättas med iSCSI Initiator.

I Windows Vista och Windows 7 används en tjänst som kallas för Volume Snapshot Service (VSS) för att spara gamla versioner av filer så att de kan återställas. I standardfallet reserveras 15% av diskutrymmet åt VSS, men upp till 30% kan användas. I Windows 7 Home edition kan sparade filerna endast användas till en "system restore", men i Professional-versionen kan användaren gå tillbaka till en viss version av en fil genom att högerklicka på den. Alla filrevisioner sparas dock inte.

Självklart är VSC-filer (Volume Shadow Copies) intressanta då en forensisk analys görs av en disk. Ett problem är att det kan vara svårt att extrahera ut VSC-filer från en "disk image". En lösning beskrivs av Corey Harrell där "Windows 7 iSCSI Initiator" och två VMWare-instanser används. En riktigt smart lösning som underlättar hanteringen av VSC-filer.

För den som är intresserad av VSC kan det vara värt att hålla ett öga på libvshadow-projektet (se nedan).

Mer information:

http://journeyintoir.blogspot.se/2012/05/more-about-volume-shadow-copies.html

http://code.google.com/p/libvshadow/

http://en.wikipedia.org/wiki/Shadow_Copy