Volume Shadow Copy Services (VSS) Analizi
Volume
Shadow Copy Services (VSS) Analizi
Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde
kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın
alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki
haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış
açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış
olsa bile oldukça önemli ve geçmişte yazılmış bilgileri, artifackleri, silinen
veya değiştirilen dosyaları bulmamıza olanak sağlayacaktır.
Volume Shadow Copy, Microsoft tarafından, Windows Vista ve sonraki işletim
sistemi sürümlerinde kullanılan manuel ya da otomatik olarak dosya ve
klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin
belirtilen zamandaki haline geri dönmesini sağlayan bir Windows özelliğidir.
(Snapshot, kısa süreli çalışmalar öncesinde alınan bir backup türüdür bu sayede
belirtilen zamana göre makineyi geri döndürebiliriz.) Volume Shadow Copy özelliği
aktif edilebilmesi için NTFS bir volüme sahip olmak gerekir. Shadow Copy ile
alınan içerikler read only özelliğine sahiptir yani volüme shaodw Copy ile
alınan dosya ve klasörler değiştirilemez. Snapshot’lar Windows güncellemeleri
yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev
aracılığıyla otomatik bir şekilde oluşturulabilir. Bundan dolayı Windows default
diskin yaklaşık %15’ini Volume Shadow kısmına ayırır. Ayrılan alan doldurulduğunda
eski volüme shadow copy silinmektedir.
Volume Shadow Copy Analizi,
Bu Windows özelliği önceki Windows sisteme geri dönmesine olanak tanır. Bu
özellik sayesinde Adli Bilişim incelemeleri açısından bu özellik oldukça önemli
ve geçmişte yazılmış bilgileri, registry keyleri, silinen veya değiştirilen
dosyaları bulmak için faydalı olacaktır. Çokça kullanılan anti-forenscis
tekniklerinden biri olan dosya veya klasörü wipe etme olduğunu biliyoruz
kullanıcı wipe etmiş olsa bile Snapshot’lar Windows güncellemeleri
yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev
aracılığıyla otomatik bir şekilde oluşturulabilir. Shadow Copy analizinde wipe
edilen dosya veya klasör volüme shadow copy bulunabilir. VSS kullanılarak
Registry keyler, dosyalar, log dosyaları gibi kritik bilgiler kurtarılabilir.
Prodiscover Forensics veya Microsoft sistem toolları olan vssadmin, mklink gibi
araçlar kullanılarak Volume Shadows Copy dosyalarına erişebilir ve analiz
işlemi gerçekleştirilebilir.
“vssadmin list shadows” komutu ile tüm shadow Copyler listelenir.
vssadmin list shadows /for=c:
komutu ile c sürücüsü üzerinde volumeshadows copyleri listeler
copy
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\SYSTEM
E:\Belgeler\Desktop
bu komut ile 4/25/2022 12:12:30 PM Creation ed’len VolumeShadowCopy4 içerisinde bulunan SYSTEM
hive dosyasını alabiliriz. Çeşitli toollar ile analizi gerçekleştirebiliriz.
Eğer tüm volumeshodws copy almak
istiyorsak mklink aracını kullanmamız gerekecektir bu araç Windows sistemlerde
default olarak gelmektedir. mklink ile sembolik veya sabit bağlantı bir dizin
veya dosya oluşturulabilir. [1]
Parametreler :
/D = Yerel ve Ağ üzerindeki bir dizin için sembolik link oluşturur. Mklink
’de herhangi parametre girmezseniz default olarak bu parametreyle işlem
yapacaktır.
/J = Yerel bağlantı oluşturur. Yani bu komutla yapacağınız bağlantıları
sadece yerel olarak olarak kullanabilirsiniz.
/H = Doğrudan dizin yerine dosyaya odaklı bir bağlantı oluşturur.
mklink ile shadows copyleri görmek için;
mklink /d shadows3 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\
komutunu çalıştırabiliriz.
Görüldüğü gibi commadline bulunana dizin üzerine shadows copy mizi
oluşturduk.
Silinmiş dosya registry gibi dosyalarımızı buradan rahatlıkla görebiliriz.
Burada alınan shadow copyleri daha önceki blog yazılarımda anlattığım gibi istediğimiz
artifacklerin analizlerini gerçekleştirebiliriz.
