Služba Windows Volume Shadow Copy Service (VSS) umožňuje zálohování souborů, dokonce i chráněných systémových souborů, za běhu operačního systému. Systém Windows používá VSS k provádění pravidelných rozdílových záloh bloků dat na svazcích NTFS. Tyto zálohy se nazývají stínové kopie svazku a jsou uloženy ve složce System Volume Information v kořenovém adresáři svazku. Analýza těchto záloh umožňuje forenzním nástrojům poskytovat snímky toho, jak systém (včetně uživatelských dat) vypadal v různých okamžicích, což umožňuje obnovu smazaných nebo přepsaných souborů, snímky registru a souborů protokolu z předchozích bodů v čase a srovnání. o tom, jak se soubory mohly v průběhu času měnit. Na živém systému lze k zobrazení seznamu dostupných stínových kopií svazku použít příkaz vssadmin.
Nástroje s otevřeným zdrojovým kódem lze také použít pro přístup k datům stínové kopie svazku z disku s obrazem. Jedním z populárních projektů pro tento účel je libvshadow, který se nachází na https://github.com/libyal/libvshadow. libvshadow je také součástí forenzní pracovní stanice SIFT. Po instalaci poskytuje libvshadow dva nástroje příkazového řádku pro přístup k datům stínové kopie svazku. vshadowinfo obslužný program zobrazuje přítomné stínové kopie svazku a vshadowmount vám umožňuje připojit konkrétní stínovou kopii svazku pro další analýzu.
Pokud narazíte na níže uvedenou chybu:
vshadowmount: command not found
můžete zkusit nainstalovat níže uvedený balíček podle vaší volby distribuce.
| Distribuce | Příkaz |
|---|---|
| Debian | apt-get install libvshadow-utils |
| Ubuntu | apt-get install libvshadow-utils |
| Kali Linux | apt-get install libvshadow-utils |
| Raspbian | apt-get install libvshadow-utils |