Windows ボリューム シャドウ コピー サービス (VSS) を使用すると、オペレーティング システムの実行中にファイル (保護されたシステム ファイルも含む) のバックアップを作成できます。 Windows は VSS を使用して、NTFS ボリューム上のデータ ブロックの定期的な差分バックアップを作成します。これらのバックアップはボリューム シャドウ コピーと呼ばれ、ボリュームのルートにあるシステム ボリューム情報フォルダーに格納されます。これらのバックアップを分析することで、フォレンジック ツールは、さまざまな時点でのシステム (ユーザー データを含む) の様子のスナップショットを提供し、削除または上書きされたファイルの回復、以前の時点からのレジストリとログ ファイルのスナップショット、および比較を可能にします。時間の経過とともにファイルがどのように変更されたかを示します。稼働中のシステムでは、vssadmin コマンドを使用して、使用可能なボリューム シャドウ コピーを一覧表示できます。
オープンソース ツールを使用して、イメージ ドライブからボリューム シャドウ コピー データにアクセスすることもできます。この目的で人気のあるプロジェクトの 1 つは、https://github.com/libyal/libvshadow にある libvshadow です。 libvshadow は、SIFT フォレンジック ワークステーションにも含まれています。 libvshadow をインストールすると、ボリューム シャドウ コピー データにアクセスするための 2 つのコマンド ライン ツールが提供されます。 vshadowinfo ユーティリティは存在するボリューム シャドウ コピーを表示し、vshadowmount を使用すると、詳細な分析のために特定のボリューム シャドウ コピーをマウントできます。
以下のエラーが発生した場合:
vshadowmount: command not found
選択したディストリビューションに従って、以下のパッケージをインストールしてみてください。
| 分布 | コマンド |
|---|---|
| Debian | apt-get install libvshadow-utils |
| Ubuntu | apt-get install libvshadow-utils |
| カリ Linux | apt-get install libvshadow-utils |
| Raspbian | apt-get install libvshadow-utils |