アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

VSSは未使用領域も保護するか

Volume Shadows Copy を有効にしたボリュームにおいて、未使用領域(UnAllocated Clusters)も保護の対象となっているかを、Windows 7 の環境でテストしてみました。考え方として正確なのか少し疑問があるのですが、流れとしては以下になります。

1.テスト用のボリューム(約1.2GB)を作成
2.新規ボリュームを FF でワイプしておきます
3.新規ボリュームにJPEG画像ファイル“コアラ”をコピーします
4.“システムの保護”で“ファイルの以前のバージョンのみを復元する”を有効にします
5.ボリュームの復元ポイントを作成します
(これ以降、ファイルシステムへの更新がスナップショットファイルに?記録されていくことになります)
6.新規ボリュームにJPEG画像ファイル“くらげ”をコピーします
7.先ほど作成したスナップショットに対してDDコマンドを使ってイメージを取得します
dd.exe if=\\.\HarddiskVolumeShadowCopy2 of=snap.img --localwrt
8.“くらげ”のJPEG画像ファイルが利用しているクラスタ番号を確認(CL 94821)
9.Snap.img でくらげ画像が利用しているクラスタ位置(CL 94821)を確認し FF であることを確認
10.念のため未使用領域で JPEG 画像パターンを検索し“くらげ”JPEG画像がないことを確認

という一連の作業を実施した結果としては、snap.img の未使用領域(最新状態にあるファイルシステムでは“くらげ”画像が利用しているクラスタ位置)は FF のままとなっており、VSS では未使用領域も保護の対象に含めているようです。ただし、スナップショットに利用できるサイズなどによっては動作が異なる場合があるのかもしれません。
あれ?スナップショットファイル自体は保護の対象になっているんだろうか?

あとの問題は新規にスナップショットを作成した場合に、どの程度ファイルシステムへ影響が発生するかだな...<補足>
シャドウコピーと DD.EXE を使って、シャドウコピー内にあるファイルシステムイメージを取得する方法は、SANS の Blog で手順が詳しく解説されてますので、下記 URL を参照いただくということで。未使用領域も含めて取得するので、基本的にはスナップショットが作成された段階のファイルシステムイメージが取得できるはずです。

VISTA and Windows 7 Shadow Volume Forensics
http://blogs.sans.org/computer-forensics/2008/10/10/shadow-forensics/