Теневые копии

Материал из -

Перейти к: навигация, поиск

Теневые копии — механизм создания резервных копий данных, представленный в Windows Server 2003 и последующих версиях Windows.

Принцип работы

Сервис теневых копий периодически следит за изменениями данных на всем томе, резервные копии данных создаются как "слепок" файловой системы на определенный момент.

Исследование теневых копий

На работающей системе список доступных теневых копий можно вывести с помощью команды: 

vssadmin list shadows /for=C:

Образец вывода: 

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2005 Microsoft Corp.

Contents of shadow copy set ID: {17ef0a11-782e-439b-a835-5a2f90a204c2}
   Contained 1 shadow copies at creation time: 6/12/2009 10:13:57 PM
      Shadow Copy ID: {caaa13ba-db38-4d2f-91bf-c09240b54f13}
         Original Volume: (C:)\\?\Volume{02ba02d3-3aaf-11de-9c5e-806e6f6e6963}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Originating Machine: Evil-PC
         Service Machine: Evil-PC
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessibleWriters
         Attributes: Persistent, Client-accessible, No auto release, Differentia
l, Auto recovered

Contents of shadow copy set ID: {744cf08f-a351-4b14-89d7-df037adabd07}
   Contained 1 shadow copies at creation time: 6/13/2009 12:41:32 AM
      Shadow Copy ID: {aa172ba5-245b-4f37-9357-ed9b818dc5e3}
         Original Volume: (C:)\\?\Volume{02ba02d3-3aaf-11de-9c5e-806e6f6e6963}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
         Originating Machine: Evil-PC
         Service Machine: Evil-PC
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessibleWriters
         Attributes: Persistent, Client-accessible, No auto release, Differentia
l, Auto recovered

Contents of shadow copy set ID: {64e90d13-2915-4e8d-b93f-bcbdd26fc6b3}
   Contained 1 shadow copies at creation time: 6/13/2009 12:42:36 AM
      Shadow Copy ID: {e5a7d0de-4101-485b-adc7-b60e1dfc3029}
         Original Volume: (C:)\\?\Volume{02ba02d3-3aaf-11de-9c5e-806e6f6e6963}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
         Originating Machine: Evil-PC
         Service Machine: Evil-PC
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessibleWriters
         Attributes: Persistent, Client-accessible, No auto release, Differentia
l, Auto recovered

Создать копию теневого тома можно с помощью программы dd для Windows, пример команды: 

dd.exe if=\\.\HarddiskVolumeShadowCopy4 of=F:\snapshot4.img –localwrt

Данную копию можно примонтировать и исследовать как обычный образ файловой системы.

Внимание: все операции по обнаружению и копированию теневых томов исследуемой системы необходимо проводить на копии носителя или в специализированной виртуальной машине. На данный момент других способов исследования теневых копий нет.

Ссылки

Источник — «http://www.computer-forensics-lab.org/wiki/index.php/%D0%A2%D0%B5%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5_%D0%BA%D0%BE%D0%BF%D0%B8%D0%B8»