본문 바로가기

보안/포렌식

Volume Snapshot Service 조사하기

윈도우의 시스템 복원 기능으로 XP의 시스템 복원 지점이 Vista 이후 VSS로 변화되었다.

하지만 정작 C드라이브를 열거나 마운팅된 이미지를 보아도 확인할 수가 없다.

따라서 다른 도구를 이용해야 하는데...도구 없이도 분석이 가능하다.

 

우선 이미지를 마운팅 시킨다.

 

이미지 마운트.zip

 

커맨드 창을 실행한다.

vssadmin list shadows /for=k:

여기서 k는 마운트 된 경로이다.

 

이후 C드라이브에 바로가기 파일을 만들어주어 분석을 할 수 있는 환경을 만들어준다.

mklink /d c:\show7 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy7\

여기서 중요한 점은 마지막에 꼭 \를 붙여주어야 한다는 것이다.

 

 

폴더를 보면 show7폴더가 생겼다.

 

링크를 끊는 방법은 바로가기파일을 삭제해주면된다.

'보안 > 포렌식' 카테고리의 다른 글

증거 수집  (0) 2015.02.17
침해사고  (0) 2015.02.16
인터넷 사용 기록 포렌식 프로그램 (인터넷 익스플로러 10, 11, 엣지 브라우저)  (6) 2015.01.26
TSK  (0) 2014.02.07
FAT : 삭제한 파일 복구  (0) 2014.02.07