ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Documents > EnCaseによるVSSの解析
«  |  Documents トップへ

EnCaseによるVSSの解析

VSSの概要

VSS(Volume Shadow Copy Service)は、Windowsに搭載されているバックアップ機能(システム復元)で、ドライブごとに差分バックアップを取ります。
バックアップファイルのリストについてはコマンドプロンプトでvssadmin list shadowsコマンドを実行することによって確認することができます。
しかし、取得されたバックアップファイルの中身は、そのコンピュータ内の変更箇所のみをまとめて一つのファイルにしたもの(=VSSスナップショット)で、そのVSSスナップショットのまま解析してもほとんど意味を持たせることは出来ません。解読可能な状態で解析するには、専用のツールが必要となります。

 

EnCaseによるバックアップファイルの解析

EnCaseではVSSスナップショットに対し、過去に更新されたり削除されたファイルを検知し、フィルタリングやエクスポートなどの操作が可能となります。特にイベントログでは、あらかじめ決められているログのサイズを超えてしまうと古いログから削除されてしまい、古いログに重要な情報が存在していたとしても、その情報を確認することは困難でした。
EnCaseを使うことにより、現存するイベントログには残されていないログの情報、削除されたファイルやレジストリのデータを、VSSスナップショットから復元することが可能です。

以下では、実際にEnCaseを使ってVSSスナップショットを解析する方法をご紹介します。なお、使用するEnCaseは、v8.07以降です。

 

EnCaseでの証拠データの取り込み

まず、EnCaseで新規ケースを作成します。Add Evidenceウィンドウで証拠データを追加します。

 

新規ケースの作成証拠データの追加
 
 ケースへの証拠データの追加

 

証拠データの追加後、[Tools] - [Analyze Volume Shadow Copies...]を選択します。

 

[Tools] - [Analyze Volume Shadow Copies...]

 

Analyze Volume Shadow Copiesウィンドウで、マウントする復元ポイントを選択します。復元ポイントはチェックボックスとなっており複数選択することが可能です。

 

Analyze Volume Shadow Copies

 

File Recovery Optionsでは、復元ポイントから取り込むデータの対象を選択します。

Recover Modified / Deleted Files:最新のボリュームの状態と比較して、更新もしくは削除されたファイルのみを対象とします。

Recover Full Volume:更新や削除の有無にかかわらず、復元ポイントが取得された当時のボリューム全体を対象とします。

Enable Recovery Condition:チェックを付けると、指定したコンディションに該当するファイルのみを取り込む対象とします。

Evidence File Output Options:復元ポイントから取り込む対象のデータは、論理証拠ファイル(Lx01 / L01)にまとめられます。論理証拠ファイルの最大サイズを指定します(対象のデータが指定サイズを超える場合、論理証拠ファイルは複数個作成されます)。File Settingsでは、論理証拠ファイルのファイル名や保存場所などが指定できます。

 

設定終了後、Processをクリックします。復元ポイントから指定されたデータが論理証拠ファイルに出力されます。

 

論理証拠ファイル出力のゲージ

 

論理証拠ファイルへの出力が終了すると、自動的にケースにマウントされます。

 

自動的にマウントされたVSCの論理証拠ファイル

 

バックアップファイルのデータの閲覧

VSSスナップショットから取り込まれたデータからは、最新の状態のHDD等に保存されているデータからは取り出すことのできないデータを取り出すことが可能です。例えば、最新の状態では画像ファイル(JPEGファイル)へアクセスしたショートカットファイルのみが確認されるのみで、アクセス先となる実ファイルは確認できません。

 

最新の状態のHDD内にあるLNKファイルLNKファイルに示された画像ファイル
 
 LNKファイルに示された画像ファイルは、最新の状態のHDDには存在しない

 

そこで、VSSスナップショットより取得された論理証拠ファイルを確認した結果、アクセス先の実ファイルが過去に存在していたことが確認されました。

 

VSCから、過去に存在していたファイルを確認

 

 

注意点

EnCaseのケースにマウントする証拠データは、必ず以下のいずれかでなければなりません。

・物理ドライブ(Physical Drive)

・論理ボリューム(Logical Volume)

・物理ドライブもしくは論理ボリュームから取得されたイメージファイル

VSSスナップショット単体もしくはVSSスナップショットを含んだ論理証拠ファイルでは、本機能を活用することは出来ません。

 

File Recovery OptionsでRecover Full Volumeを選択すると、VSSスナップショットが取得された当時の、更新もしくは削除されたデータを含むボリューム全体を復元することが可能です。但し、復元のために作成される論理証拠ファイルのファイルサイズが大きくなるため、格納するための充分なサイズを持つHDD等が必要になります。