アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

仮想環境におけるVSSの移植

PC1に接続されたボリュームA(スナップショット有り)を、PC2 に接続してもそのままではボリュームAのスナップショットを識別することができません。レジストリの動作を見ていると、なんとなく関連するキーにボリューム ID が入っていれば後は認識してくれるのではないか?ということで、VMware環境下で実験を行ってみました。

1.VMware 環境に VistaWindows 7 をゲストOSとして用意
2.サイズ 1.1GB のテスト用仮想ディスク(Volume1)を Vista に接続
3.Vista上では Volume1 でシステムの保護を有効にしスナップショットを作成
4.Volume1 上で幾つかの画像ファイルを削除し、以前のバージョンから認識可能なことを確認
5.Vista をシャットダウン
6.Vsita の仮想ディスク Volume1 を Windows 7 の環境へコピーし追加ディスクとして登録
7.Windows 7 を起動し、Volume1 の認識を確認(但し以前のバージョンは認識されない)
8.Windows 7 で Volume1 のシステム保護を有効にする(すでに有効な場合いったん無効にして再有効化)
9.Windows 7 をシャットダウン
10.Vista 上の仮想ディスクを再度 Windows 7 の環境へすでにある volume1 に上書きコピー
11.Windows 7 を起動する
12.Windows 7 で volume1 で以前のバージョンを表示すると、Vistaで作成したスナップショットを表示
13.スナップショット内からファイルを復元できることを確認

という流れで、VMware 環境下では別PCのスナップショットを Windows 7 から確認することができました。ここまでの動作からすると、スナップショットを認識させたい PC 側で、VSS の対象ドライブとしてボリューム情報が(恐らくレジストリ?に)登録されれば認識されそうな雰囲気です。
これが実機ベースで可能になるかどうかは、Volume1 を実際の HDD に置き換えて、ライトブロッカー経由でのアクセスで同じ手順が可能かどうかをテストしてみないとわかりません。しかし、ライトブロッカー経由か、仮想的にマウントしたボリュームでも同じ流れでのアクセスが可能になれば、調査端末から VSS 上のスナップショットへアクセスするのが簡単になるかもしれません。
証拠のイメージファイルを、ホスト OS で(PDE などを使いエミュレートして)物理ディスクとしてマウントしたら、それを VMware 環境では RAW ディスクとして割り当てて識別させるとかいう方法が取れればより簡単ですかね。あと、OS 側のディスクでも同じような手順で可能かもテストしてみないとわかりませんね。<補足>
なんかテストを繰り返した為か、スナップショット上では画像の名前が本来の名前ではないのが表示されるなぁ。例えば、以前のバージョンを表示したときに、Toco Toucan の画像がなぜか“クラゲ”という名前でエクスプローラ上から表示されるのは何故なのか...orz