Volume Shadow Copy (VSS) Forensics

Volume Shadow Copy (VSS) Forensics
Volume Shadow Copy (VSS) ႏွင့္ System Restore Points Volume ျခားနားခ်က္ကေတာ့
system restore point မွာ OS ရဲ႕ Good Condition အေနအထားကုိပဲေရာက္ရွိေစမွာ ျဖစ္ပါတယ္။သူနဲ႕တြဲလွ်က္ရွိတဲ့ Volume Shadow Copy မွာေတာ့ User ရဲ႕ အရင္တစ္ခ်ိန္ကရွိခဲ့တဲ့ File folder Web History , Registry , etc စတာေတြကုိရရွိႏုိင္ပါတယ္။ Volume Shadow Copy (VSS) ကေတာ့ NTFS file System ကုိပဲ Support လုပ္ပါတယ္။ VSS ကုိ ရွာေဖြႏုိင္တဲ့ Tools ေတြ Free ရရွိႏုိင္ပါတယ္။ vssadmin နဲ႕လဲ cmd(admin) ျဖင့္ရွာေဖြႏုိင္ပါတယ္။ လက္ရွိေခတ္စားေနတဲ့ Forensics Tools ေတြမွာ Volume Shadow Copy (VSS) အတြက္ သီးသန္႕ ရွာေဖြစစ္ေဆးလုိ႕ရတာေတြရွိပါတယ္။ example Encase
Encase မွာဆုိရင္ အရင္ အစ္ကုိေရးထာတဲ့အတုိင္းပဲ forensics image ကုိ Write Protect device နဲ႕တြဲဖက္ၿပီးရယူ ၿပီးရင္ Image file ကုိ MD5 SHA တစ္ခုခုသုံၿပီး Hash value (True Copy) ျဖစ္ေအာင္
လုပ္ပါမယ္။ ၿပီးရင္ Forensics WorkStation မွာ ခုနက ယူထားတဲ့ forensics image file ကုိ Mount လုပ္ၿပီး
Volume Shadow Copy (VSS) ကုိရွာေဖြရမွာျဖစ္ပါတယ္။ ရွာေဖြတဲ့အခါ VSS ရွိရင္ VSS ဘယ္ႏွစ္ခုရွိလဲဆုိတာျပသပါမယ္။ Case အေနအထားအရ ကုိယ္လုိအပ္တဲ့ အခ်ိန္ကာလ ကုိရွာေဖြစစ္ေဆးရမွာျဖစ္ပါတယ္။

Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )