Windows Shadow Copies

Консультации, советы начинающим.

Модератор: pruss

Windows Shadow Copies

Сообщение SCPHN » 09 янв 2018, 00:38

Подскажите пожалуйста схему работы с образами дисков, где присутвуют shadow copy.
Получение деталей по существующим точкам (дата , время , комментарий)
подключение (монтирование) образа

Какие средства работы с теневыми копиями есть в X-Ways ?
Belkasoft теневые копии видит , но показывает не все метаданные ,и не дает возможность снять образ.
Forensic Explorer показывает все метаданные ,но не дает снять образ.
Заранее спасибо за помощь.
SCPHN
Член клуба
 
Сообщения: 10
Зарегистрирован: 28 фев 2016, 15:06
Откуда: Днепропетровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Re: Windows Shadow Copies

Сообщение Igor Mikhaylov » 09 янв 2018, 09:27

SCPHN писал(а): Belkasoft теневые копии видит , но показывает не все метаданные ,и не дает возможность снять образ.

Можно чуть подробнее: какие именно метаданные не показывает Belkasoft?


Формально, механизмы работы с теневыми копиями (shadow copy) есть во всех основных форенсик инструментах. Хотелось бы понять: что вы хотите из нее достать?


Также, не совсем понятен вопрос с созданием образа. Shadow copy это каталог с некоторым количеством файлов. Вы его хотите отдельно склонировать?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Windows Shadow Copies

Сообщение SCPHN » 10 янв 2018, 00:06

Данные shadow copy от Belkasoft https://drive.google.com/open?id=1XeAcvs-XJWcPgaUFAopTYjKepvfHaG5N
данные shadow copy от Forensic Explorer с указанием комментария (причиный создания скрытой копии - установка/удаление По/запланированная точка) https://drive.google.com/open?id=1owC3H-ZaYpXTgCGgz5kjr4-YZ1jeokLr

основная суть (задачи) ,
- иметь возможность подключать теневые копии как разделы в X-WAYs для работы, как со стандартными разделами и дисками (я так понимаю так только неудаленные файлы , которые были на момент создания копии)
- понять как правильно описать наличие подобных теневых копий ,дата создания, место нахождение файла/блочного устройства, другие необходимые мета-данные теневой копии. Чтобы можно было однозначно идентифицировать экземпляр теневой копии. (пример правильного описания)
SCPHN
Член клуба
 
Сообщения: 10
Зарегистрирован: 28 фев 2016, 15:06
Откуда: Днепропетровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Re: Windows Shadow Copies

Сообщение SCPHN » 10 янв 2018, 01:55

Удалось немного разобраться с метаданными и нахождением файлов теневых копий через X-Ways
особенно данные по времени создании каждой из точек .
https://drive.google.com/open?id=1XMgbK8cwXXSR1utfzCOMreN3UgnFGjMG
Но как подключать образы в x-ways пока не осилил

То что указано здесь http://www.xwaysclips.co.uk/2013/04/parsing-system-volume-information-files.html, частично выполнил6 файлы идентифицированы.
где указывать параметры файла , так и не понял.
Как маунтить диск тоже.
SCPHN
Член клуба
 
Сообщения: 10
Зарегистрирован: 28 фев 2016, 15:06
Откуда: Днепропетровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Re: Windows Shadow Copies

Сообщение Антипов Максим » 10 янв 2018, 11:49

У меня не скромный вопрос - а чем SIFT Workstation не устраивает? Она без лишних танцев с бубном умеет все что Вам нужно - и выводить информацию по всем теневым копиям раздела и монтировать теневые копии как диски, которые спокойно сливаются ну хотя бы тем же dd в RAW формате.
Курим мануал: https://media.readthedocs.org/pdf/sift/latest/sift.pdf
Качаем SIFT Workstation отсюда: https://digital-forensics.sans.org/community/downloads
Вот ссылка на дистрибутив libvshadow: https://github.com/libyal/libvshadow
Еще ссылка: http://www.forensicswiki.org/wiki/Libvshadow

Касательно же формулировки я обычно пишу так:
"На разделе таком то обнаружено столько то теневых копий с такими то датами создания" и ниже табличку.
А касательно файлов в теневых копиях - "В теневой копии от такого то числа обнаружены файлы такие то, которые в основном разделе на момент исследования [отсутствовали(что чаще всего)]/[идентичны исходным]/[имели содержимое, отличное от исходных]".
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Windows Shadow Copies

Сообщение SCPHN » 12 янв 2018, 03:18

Спасибо за libvshadow .
Действительно помогло , особенно эта статья http://epyxforensics.com/mounting-shadow-volumes-in-linux-ubuntu-12-04/
Почему то belka soft не увидел , мессенджеры при обработке теневых копий внутри основного образа. Когда подкинул теневые копии в виде отдельных образов , отработал нормально (насколько это можно назвать нормой, для обработчика Viber - когда нет инфо по вложениями , ни мета данных по расположению сохраненных вложений , ни самих вложений).

X-Ways оказывается обрабатывает содержимой теневых копий , и размещает копии файлов в тех же папка , только с дополнительными атрибутами SC SC (Previous). Что не совсем удобно (наверное , дело привычки). и описывать тоже необходимо соответвующим образом.
SCPHN
Член клуба
 
Сообщения: 10
Зарегистрирован: 28 фев 2016, 15:06
Откуда: Днепропетровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.


Вернуться в Помощь новичкам

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3