System Volume Information ve Volume Shadow Copy İncelemesi

Microsoft, Windows XP' den bu yana yayınlanan sürümlerde Volume Shadow Copy Hizmetini dahil etmiştir. Volume shadow copy hizmeti, kullanıcı için geri yükleme noktaları oluşturmak için aralıklı olarak farklı yedeklemeler oluşturur. Windows 7 Professional ve Ultimate sürümleri, disk görüntülerine shadow birimleri yerleştirme yeteneği de dahil olmak üzere, Volume Shadow Copy Hizmeti ile birlikte çalışacak ve yönetecek araçlar içerir. Windows 8'de, shadow birimleri Dosya Geçmişi tarafından yerine getirilmiş gibi görünüyor.


Windows Shadow Kopyası, disk volume’lerinin yedek kopyalarını el ile veya otomatik olarak oluşturan bir hizmettir. Windows, zamanlanmış bir yedekleme veya sistem geri yükleme noktası gerçekleştirdiğinde bu yedeklemeler otomatik olarak oluşturulur. Bu, Windows Güncelleştirmeleri yüklenmeden önce veya Windows, sistem boşta kalma süresi ve önceki sistem geri yükleme noktasının oluşturulduğu zamandan itibaren belirlenen yeni bir sistem geri yükleme noktası oluşturmanın zamanı geldiğini belirler. Windows Vista'da, bu bir gündür. Windows 7 ve daha yeni, bu yedi gündür. Windows XP, sistem etkinliğine bakılmaksızın her 24 saatte bir oluşturur.


Shadow kopyaları başlangıçta tüm sürücülerin blok düzeyinde klonları olarak oluşturulur. Buradan, sadece sürücüdeki değişiklikler takip edilir. Bu, adli bir soruşturmada, ilgili tüm bilgilerin aynı Shadow Copy' de bulunamayacağı anlamına gelir.



Windows XP ve Server 2003


Windows, ilk olarak, Volume Snapshot Service uygulamasını NTBackup tarafından kullanılan Windows XP'ye ekledi. Kalıcı anlık görüntülerin oluşturulması, Windows Server 2003'te eklenmiştir. Bu ekleme, tek bir birim için 512 adete kadar anlık görüntüye sahip olma yeteneği sağlar. Windows 2003, değiştirilen verilerin artımlı anlık görüntülerini oluşturmak için kullanılır.


Windows XP'de, sistem geri yükleme işlemi veya shadow kopyalarının oluşturulması, Windows'un daha yeni sürümlerinden farklıdır. Windows XP, basit bir mekanizma kullanır; bir uygulama herhangi bir sistem dosyasının üzerine yazmayı denediği anda, Windows XP dosyanın bir kopyasını yapar ve bu dosyayı ayrı bir klasöre kaydeder. Bu şekilde, Windows XP'de, sistem geri yüklemesi bir kullanıcının belgelerini etkilemez, ancak yalnızca birkaç tane ile birlikte dll, exe ve kayıt defteri dosyaları gibi dosyaları etkilemez.



Windows Vista, Windows 7 ve Server 2008


Windows sürümlerinin çoğu, bu sürümlerde Shadow kopyalarından yararlanmak için güncelleştirildi. Bu windows sürümleri içindeki yedekleme ve geri yükleme yardımcı programı, hem dosya tabanlı hem de sektörel yedeklemelerde dosyaların shadow kopyalarını kullanır. VSS, sistem ve kullanıcı verilerinin periyodik kopyalarını aynı yerel volumede oluşturup sürdüren ve Sistem Geri Yükleme Yardımcı Programı tarafından yerel olarak erişilebilmeyi sağlayan Sistem Koruması bileşenleri tarafından kullanılır.



Windows 8 ve Server 2012


Microsoft'un işletim sistemlerinin bu sürümleri, kalıcı shadow kopyalarını destekler. Ancak, Windows 8, shadow kopyalarına kolayca göz atmak için gerekli olan bir GUI bölümünden yoksundur. Bu nedenle, Windows 8 içinde dosyaların özellik iletişim kutusunun Önceki sürümleri sekmesi yerel birimler için kaldırılmıştır. Bu nedenle dosyaların eski sürümlerine göz atma, arama veya kurtarma özelliği mevcut değildir. Bu işlev, ShadowExplorer gibi üçüncü taraf araçları kullanılarak kurtarılabilir.



Windows 10


Microsoft Windows'un bu sürümü, dosyaların özellikleri iletişim kutusundaki Önceki sürümler sekmesini geri yükledi. Ancak, artık Volume Shadow Kopyaları yerine Dosya Geçmişi özelliğine bağlıdır.



Uygunluk


Farklı NTFS sürümleri, hem ileri hem de geriye dönük uyumluluk derecesine sahip olsa da, Windows'un eski sürümlerinde kalıcı shadow kopyaları içeren daha yeni NTFS birimleri yüklerken belirli sorunlar ortaya çıkabilmektedir. Bu, eski işletim sisteminin kalıcı shadow kopyalarının daha yeni biçimini anlamadığı için olur.



Dijital Adli Bilişimde Volume Shadow Kopyaları


Shadow Kopyaları Neden Adli Bilişim İçin Önemli ?


Windows Shadow Birimleri, adli bilişim için oldukça önemlidir, çünkü aksi takdirde mevcut olmayabilecek ek veriler sağlayabilirler. Adli araştırmacıların silinmiş dosyaları kurtarmasına ve araştırmaya başlamadan önce sistemde neler olduğunu öğrenmelerine izin verebilirler. Daha önce bir sistem kullanıcısı tarafından silinen verileri bulmak için mükemmel bir araçtır.



Adli soruşturmalarda Shadow Kopyalarının Sınırlamaları


Shadow Kopyaları, Shadow Kopyası yapıldığı zaman ile araştırmanın başladığı zaman arasında silinmiş dosyalar ile adli bilişim araştırmacıları sağlayabilir olsa da, yalnızca dosyaların önceki bir sürümünü sağlarlar. Shadow Kopyalama oluşturulmadan önce dosyalarda önceki değişiklikler yapılmışsa, bu değişiklikler bilinmeyecektir. Shadow Kopyaları bir dosya düzeyi yerine bir blok düzeyinde klonlandığından, tek tek dosyalarda yapılan değişiklikler, Windows'un ilgili bir Shadow Kopyadaki değişiklikleri yapmasına neden olmak için yeterli olmayabilir.


Ayrıca, kullanıcının kişisel ayarlarına bağlı olarak Shadow Kopyası hizmeti kapatılmış ve Shadow Kopyaları saklanmayabilir. Diğer zamanlarda, disk alanı ayarları, kaydedilebilecek birden fazla Shadow Kopyası için çok düşük veya ayarların izin verdiğinden daha büyükse bir Shadow Kopyası için bile kaydedilebilir. Disk alanı sınırına ulaşıldığında Windows, Shadow Kopyaları'nın üzerine otomatik olarak yazar. Bu nedenlerden dolayı, Shadow Kopyaları adli soruşturmalara yardımcı olmalıdır, ancak yararlı bilgileri keşfetmek için bir araç olarak garanti edilmez.



Kayıt Defterindeki Birim Shadow Kopyaları


Ayrıca Volume Shadow Kopyaları ve özellikleri ile ilgili bilgileri Windows Kayıt Defterinden de kurtarabiliriz. Özellikle bir Windows servisi olduğu için, çok sayıda ilgi alanı vardır. Aşağıdaki kayıt defteri anahtarı hizmetin kendisi hakkında bilgi sağlar:


HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ VSS


Bu yazı için aşağıdaki kayıt defteri anahtarına odaklanacağım:


HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ BackupRestore



Bu yol içerisinde üç alt anahtarımız var:


FilesNotToBackup

Yedeklenmemesi veya geri yüklenmemesi gereken dosyaları belirtir.

FilesNotToBackup

FilesNotToSnapshot (yalnızca Vista / 2008 +)

Yeni oluşturulan shadow kopyalarından silinmesi gereken dosyaları belirtir.

FilesNotToSnapshot

KeysNotToRestore

Yedekleme uygulamalarının geri yüklenmemesi gereken kayıt defteri anahtarlarının ve değerlerinin isimlerini sağlar.

KeysNotToRestore

Analiz ettiğiniz bir sistemde herhangi bir tutarsızlık bulursanız, bu kayıt defteri anahtarlarının çekilmesini ve bir VSC içindeki değiştirilmiş verilerin değiştirilip değiştirilmediğini belirlemenizi öneririz.



Birim Shadow Kopyalarını Analiz Etme


VSC'leri analize dahil ederken, aşağıdaki olanakları göz önünde bulundurun:

Birim Shadow Kopyalarını Analiz Etme

Birim Shadow Kopyalarını Analiz Etme

Bir araştırmacı bir görüntü araması yaptığında ve bir volume shadow kopyasında potansiyel delil değeri olan bir veri bulmuşsa, ancak orijinal kaynağın daha derinine inmek veya bulunabilecek herhangi bir ek veri olup olmadığını görmek için mükemmel bir kullanım senaryosu olacaktır. Kullandığımız Rapor Görüntüleyiciler, araştırmacının, shadow kopyasının ve veri parçasının hangi dosyadan geldiğini gösteren ayrıntılarla birlikte sağlayacaktır. Araştırmacı daha sonra değiştirilmiş dosyaları içeren sadece bir veya daha fazla birim shadow kopya üzerinde ikinci bir arama yapabilir. Bu, araştırmacıya sadece daha eksiksiz bir veri seti değil, aynı zamanda potansiyel tarihsel bilgileri de sağlayacaktır.


Çoğunlukla, shadow kopyaları, kayıt defteri kovanlarının tarihsel bir versiyonunu, SQLite gibi veritabanlarını ve geleneksel olarak çok fazla tarihsel veriyi saklamayan, ama değerli değer bilgisi zenginliğine sahip birçok başka esere sahip olacak. Bunun iyi bir örneği, silinmiş ve üzerine yazılan veya yalnızca geçici olarak bellekte saklanan ancak iki hafta öncesindeki shadow kopyasında hala mevcut olabilecek ek sohbet kayıtları bulma potansiyeli olabilir.



Birim Shadow Kopyalarını Analiz Etme

Libvshadow gibi araçlar kullanırken, Volume Shadow Kopyası'nın mantıksal bir volume olarak gösterilmesini sağlayabilirsiniz, log2timeline / Plaso gibi ikincil analiz araçlarını uygulayabilir ve geçmişte daha ileriye bakacak olan büyük MEGA supertimelines oluşturabilirsiniz. Sadece aynı verinin birden fazla olabileceğini unutmayın;

  • Analizde yardımcı olacak, kötü amaçlı yazılım veya ilgi alanı gibi zaman göstergeleriniz varsa, birim shadow kopyalarınızın bu zaman aralıklarıyla nasıl etkileşimde bulunduğunu gözlemleyin. Kendinizi enfeksiyondan önce sisteme göz atabileceğiniz bir durumda bulabilirsiniz. Ayrıca, zaman damgası şüpheniz varsa, Volume Shadow Kopyanızı bu teoriyi yedekleyip desteklemediğine bakın.

  • Sadece veriler Volume Shadow Kopyası içerisindeyse, analiz tekniklerinin değişmesi gerektiği anlamına gelmez. Hala otomatik komut dosyalarını, hash dosyaları çalıştırabilir, anahtar kelime aramaları yapabiliriz. Bu sadece başka bir verinin kaynağıdır.



Analiz Özeti


Burada yerel alanda işimiz çok zor olacağı için sanal sunucumuzda 60 GB’lık bir Windows 7 işletim sistemi kurduk. Sonra da herhangi bir açık kaynak Logparser ile incelemek üzere sadece birkaç gün kullanılmış olan bu işletim sisteminin imajını (Volume Shadow Kopyası şeklinde) aldık. Mount işlemi yapıldı.


Logparser

Belirli bir klasörle ilgili olarak, Shadow kopyaları Sistem Birimi Bilgileri klasöründe depolanır. Bu gerekli duyulduğu takdirde ücretli yazılımlar tarafından da doğrulanabilir. Shadow Gezgini'nde, bir birim Shadow kopyasının oluşturulmasından nelerin etkilendiğini gördük. Özellikle, bir NTUSER.DAT dosya ve BCD dosyası Shadow kopyasını oluşturulmasından etkilenir. BCD (Önyükleme Yapılandırma Verileri) bir kayıt defteri kovanıdır ve BCD.LOG dosyaları kovan için kayıt görevi görür ve gerek duyulursa kurtarma için bulunur. NTUSER.DAT, başka bir kayıt defteri dosyası, belirli bir bireysel hesap ayarları hakkında bilgi içerir. Sanal makinemizdeki birincil Shadow kopyaları temel olarak yüklemeler ve güncelleştirmelerle ilişkilendirildiğinden, NTUSER.DAT dosyasının etkileneceği bir anlam ifade eder.


NTUSER.DAT

Kısaca toparlayacak olursak ;


Bir Shadow kopyası oluşturulduğunda değişen belirli dosyaların olduğunu ve belirli araçların GUI biçimindeki herhangi bir Shadow kopyasının oluşturulma zamanına bir sistem / dosya yapısının nasıl baktığını ve gösterilebileceğini anlattık.


Adli Bakış Açısı

Adli bir bakış açısından, birim Shadow kopyaları belirli bir dosya, klasör veya hatta sistemin nasıl değiştiği hakkında bilgi içerir. Bu, bir şüphelinin belirli bir suç işleyip işlemediğini kanıtlamak için kullanılabilir ve “kanıtları gizlemeye ya da silmeye çalışmıştır” şeklinde yorumlar yapılabilir.



Araştırma / İnceleme

Shadow kopyaları, içerdikleri bilgiler nedeniyle dijital adli soruşturmada önemli bir rol oynayabilir. Bir dosya sisteminin veya klasör yapısının Shadow kopyasının oluşturulma zamanına nasıl baktığı, hangi programların yüklendiği ve hangi dosyaların sağlam veya silinmiş olduğu hakkında bilgi içerir.



Bunlara nasıl erişebiliriz?

Volume Shadow Kopyalarından veriye adli bir şekilde erişmek ve ayıklamak için yukarıda anlattığımız gibi çeşitli yöntemler vardır.



Kullanılan Spesifik Yöntemler Nelerdir ?

Volume Shadow Kopyalarından veriye adli bir şekilde erişmek ve bu verileri ayıklamak için komut satırı ve GUI yöntemleri vardır. Komut satırı ara yüzleri ile mevcut koşullara ve uygulayıcının konfor düzeyine bağlı olarak, her iki yöntem de işe yarayabilir. Bu programlar, bir dosya sisteminin veya klasör yapısının, orijinal kopyaya müdahale etmeden bir Shadow kopyasının oluşturulma zamanına nasıl baktığını incelemeye izin verebilir.