Pillole di analisi forense: Shadow Copy
- Vincenzo Alonge
- Visite: 3834
Shadow Copy (chiamata anche Volume Snapshot Service o VSS, o Previous Versions / Versioni Precedenti) è una caratteristica introdotta con Windows XP SP1, Windows Server 2003 e disponibile in tutte le versioni successive di Microsoft Windows.
Permette la creazione manuale o automatica di copie di backup di un file, di una cartella o di uno specifico volume ad un dato momento. È usata da Windows Backup and Restore e dal servizio Volume Shadow Copy per ripristinare i file.
Le copie shadow sono istantanee in tempo reale che contengono informazioni su file system, cartelle, programmi e file congelate in un determinato istante. Vengono create ogni volta che viene attivato un punto di ripristino.
Per esaminare le copie shadow nel modo tradizionale, gli esaminatori possono usare il "vssadmin" e il comando "mklink", tools da linea di comando nativi in windows
Per identificare la copia shadow bisogna aprire il prompt di comandi con permessi amministrativi e lanciare il seguente comando:
vssadmin list shadows
Per creare un link simbolico (nel nostro esempio c:\shadow1) che punta alla copia shadow selezionata utilizziamo il comando "mklink", facendo attenzione a non dimenticare lo backslash finale:
mklink /d c:\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
Ora possiamo analizzare la copia Shadow accedendo alla cartella c:\shadow1.
Questa è solo una delle tante fasi di analisi, tanti altri approfondimenti vi aspettano nel nostro ricco e completo corso di Certified Professional Forensic Analyst. #PillolediAnalisiForense