Il servizio Copia Shadow del volume di Windows (VSS) consente di eseguire backup di file, anche di file di sistema protetti, mentre il sistema operativo è in esecuzione. Windows utilizza VSS per eseguire backup differenziali periodici dei blocchi di dati sui volumi NTFS. Questi backup sono chiamati copie shadow del volume e sono archiviati nella cartella System Volume Information nella radice del volume. L'analisi di questi backup consente agli strumenti forensi di fornire istantanee dell'aspetto del sistema (inclusi i dati dell'utente) in vari momenti, consentendo il ripristino di file eliminati o sovrascritti, istantanee del registro e file di registro da momenti precedenti e confronti di come i file potrebbero essere cambiati nel tempo. Su un sistema live, il comando vssadmin può essere utilizzato per elencare le copie shadow del volume disponibili.
Gli strumenti open source possono essere utilizzati anche per accedere ai dati della copia shadow del volume da un'unità con immagine. Un progetto popolare per questo scopo è libvshadow, che si trova su https://github.com/libyal/libvshadow. libvshadow è incluso anche nella workstation forense SIFT. Una volta installato, libvshadow fornisce due strumenti a riga di comando per accedere ai dati della copia shadow del volume. Il vshadowinfo l'utilità mostra le copie shadow del volume presenti e vshadowmount consente di montare una copia shadow del volume specifica per ulteriori analisi.
Se riscontri l'errore seguente:
vshadowmount: command not found
puoi provare a installare il pacchetto seguente secondo la tua scelta di distribuzione.
| Distribuzione | Comando |
|---|---|
| Debian | apt-get install libvshadow-utils |
| Ubuntu | apt-get install libvshadow-utils |
| Kali Linux | apt-get install libvshadow-utils |
| Raspbian | apt-get install libvshadow-utils |