アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スナップショットを含むボリュームの仮想的なマウント

EnCase の PDE*1 や VDK などを使って、スナップショットが含まれるボリュームのイメージをマウントすれば、もろもろのツールが使えるのではないか?という安易な考えでいたのですがこれは駄目みたいですね。
とりあえず、VMware 上の Windows 7 のゲスト OS で、VSS 実験用に追加した 4GB の仮想ディスクボリューム FNG04 で保護設定を有効にし、ドライブの復元ポイントを作成しておきます。念のため vssadmin list shadows コマンドからスナップショットが有ることを確認してシャットダウン。
別の PC というかホスト OS 側で、仮想ディスクボリュームだけを EnCase に放り込んで、PDE でマウントし、vssadmin コマンドで list volumes を実行してみるもボリュームが認識されない状況。XP で試しているのが悪いのではないか?という噂もあり、Vista 環境でも試していただいたのですが、これも駄目。などと言っている間に SANS の blog に仮想的にマウントする方法は駄目らしき記述が発見されたので、どうやら単純に仮想ディスクとしてマウントする方法によるシャドウコピーへのアクセスは困難そうです。
とりあえずvssadmin list volumes などでボリュームが認識されないと、シャドウコピーに関する ID やらの情報も確認できないので、ShadowExplorer や VSS.EXE*2も使うことができません。
プロセスモニターを使って vssadmin のアクセスを確認してはどうか?!という案が出て、簡単に該当ボリュームへのアクセスなどをフィルタしながら確認した範囲では、今回の実験用ボリューム E: に対する vssadmin からのアクセスが見当たらず。ボリュームに関連する情報などはシステム側に集約されていて、そちらにアクセスできないとシャドウボリュームに関する情報が得られず、だから仮想的にマウントするだけでは駄目なのではないか?説なども展開されたのですが、この辺りは具体的にシステム側だとすればどの辺りの情報へアクセスしているのか、移植は可能か?などが次回?向けの調査項目として残っている状況です。
ということで、以後はオフライン状態にあるボリュームで、シャドウコピーへアクセスする方法を模索していきました。

*1:物理ディスクエミュレータ、証拠ファイルやDDイメージをWindowsに対して仮想的に物理ディスクに見せかけてマウントすることができるようになる

*2:最初ダウンロードするURLがわからないで困っていたという噂がありますがucq君にリンクの場所を教えてもらう