アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

VSS経由のイメージ取得と時間

ライブフォレンジックなどにおいて、VSS スナップショットを dd.exe などでコレクションする場合には、そのサイズと時間経過について悩むことになる気がしています。
例えば 100GB のボリュームを、VSS のスナップショットを経由してイメージ作成すると、100GB のイメージファイルが作成されます。もしスナップショットが 3つありそれぞれイメージを作成すると 100GB × 3 ということになります。
100GB をコレクションするのはそれなりにお時間かかるのと、基本的にスナップショットの中身は変化しない前提*1であるとすると揮発性の順序からいくと、現在のファイルシステムのコレクション作業の方が優先されるでしょうから、100GB × 4 とかが全体の時間としては必要になってしまうかもしれません。
さすがにこれでは時間的に難しい面がある気がしますので、現実的には VSS スナップショットをマウント可能な F-Response などを使っての確認になる気がします。例えば F-Response + EnCase の組み合わせで、イメージファイルを作成することなくスナップショットボリュームの中身を確認し、とりあえず必要そうなのだけ LEF で確保するなどは可能になるかもしれません。(スナップショットがマウントできるのは確認してますが、既存のユーザーアクセス可能なスナップショットへのアクセス経路についてはまだ未確認)
この辺りはレガシーな手法では難しいので、次世代?な手法を新たに生み出していく必要がありそうですね。

*1:この前提が成り立つのかは確認と検証が必要だと考えています、スナップショット用に割り当てられているサイズの影響などを考える必要があるのではないかと