Giới thiệu
Mỗi lần một phiên bản mới của Windows được đưa ra thì y như là có những thoáng rùng mình nhẹ trong cộng đồng forensics. Những câu hỏi được đặt ra như: những tính năng mới nào được đưa vào trong phiên bản sắp tới ? Có những thử thách gì mà chúng ta phải đối mặt ? Một vài sự thay đổi chỉ là thứ yếu; ví dụ, cấu trúc nhị phân của Windows Registry không thay đổi giữa nhiều phiên bản, từ Windows 2000 cho đến Windows , mặc dù cách Registry được sử dụng (ví dụ, nơi các keys được đặt, các keys và các giá trị gì được tạo và thay đổi, vân vân) bởi OS và các apps thay đổi trong nhiều trường hợp. Những sự thay đổi khác có thể khá quan trọng, ví dụ như những sự thay đổi xuất phát từ phía trong liên quan tới cách Windows hoạt động.
"VOLUME SHADOW COPIES" là gì ?
Volume Shadow Copies (VSCs) là một trong các khía cạnh mới và có vẻ đáng ngại của Windows OSs (nhất là, Windows XP, trong một cách hạn chế, và nhiều hơn với Vista và Windows 7) mà có thể tác động quan trọng tới việc phân tích. VSCs quan trọng và hấp dẫn trong vai trò là nguồn của các artifacts.
Với việc đưa ra Windows XP, Microsoft giới thiệu Volume Shadow Copy Service (VSS) để cung cấp các chức năng backup các files hệ thống quan trọng nhằm hỗ trợ cho việc khôi phục dữ liệu. Với Windows XP, các users và administrators đã thấy được chức năng này như là các System Restore Points mà được tạo một cách tự động dưới nhiều điều kiện khác nhau (ví dụ, mỗi 24 giờ đồng hồ, khi một driver được cài đặt, vân vân), và cũng có thể tạo một cách thủ công, như mô tả trong hình 1.
Như trong Hình 1, users ngoài việc tạo ra các Restore Points, chúng còn có thể restore computer về thời điểm trước đó. Điều này tỏ ra hữu dụng trong trường hợp khi một user cài đặt một thứ gì đó (app, driver, ...) mà không may rằng hệ thống hoạt động không như mong đợi, hoặc hệ thống có thể bị lây nhiễm malware. Users có thể revert các tính năng lõi của hệ thống của họ về trạng thái lúc trước khi cài đặt thong qua tính năng System Restore, khôi phục một cách hiệu quả về trạng thái phía trước. Tuy nhiên, System Restore Points không back up mọi thứ trên hệ thống; ví dụ, các files dữ liệu của user không được back up (và do đó không được restore), và tất cả dữ liệu (nhất là passwords) trong SAM hive của Registry không được back up, và bạn có thể không muốn các users restore các hệ thống của họ về những mốc thời gian phía trước và có thể họ sẽ không truy cập được vào hệ thống của họ nữa , như một password lúc trước (những gì có thể khó nhớ ) được restore.
Vì vậy, trong khi System Restore Points chứng tỏ rằng chúng hữu dụng khi các users cần recover các hệ thống của họ về trạng thái phía trước, chúng thực hiện rất ít việc back up user data và cung cấp truy nhập tới các bản sao lúc trúc của các files khác. Từ góc nhìn của forensic, rất nhiều dữ liệu lịch sử có thể lấy được từ System Restore Points, bao gồm các backed-up system files và các Registry hives. Analysts vẫn cần phải hiểu về cách các backed-up files có thể được "ánh xạ" tới các filenames ban đầu nhưng thực tế là các files được back up có giá trị trong chính nó.
Hình 1. Tính năng System Restore Point trong Windows XP
Với việc đưa ra Vista, tính năng được cung cấp thông qua VSS để hỗ trợ cho các services như là Windows Backup và System Restore được mở rộng. Cụ thể, số lượng và kiểu dữ liệu được capture bởi System Restore được mở rộng thêm bao gồm các block-level, incremental "snapshots" của một hệ thống (chỉ thông tin được chỉnh sửa mới được record) tại một thời điểm cho trước. Các "snapshots" này, được biết đến như là Volume Shadow Copies, xuất hiện theo một cách khác đối với user. VSCs hoạt động tại block level bên trong file system, backing up và cung cấp truy nhập tới các phiên bản trước đây của hệ thống và các user data files bên trong một volume cụ thể. Như với System Restore Points, các backups thực sự là trong suốt với user, nhưng với VSCs, user có thể restore các phiên bản trước đây của files thông qua Previous Versions shell extension, như trong Hình 2.Okay, vậy nó có ý nghĩa gì đối với forensic analysts? Từ góc nhìn của một analyst , có rất nhiều thông tin lịch sử bên trong các backed-up files. Truy cập tới những files này không chỉ cung cấp dữ liệu lịch sử (ví dụ, các nội dung trước đây, etc.) mà việc phân tích thêm có thể được tiến hành thông qua việc so sánh các phiên bản có sẵn qua thời gian.
Registry Keys
Như mong đợi, có một vài Registry keys mà có tác động trực tiếp lên performance của VSS, dịch vụ mà hỗ trợ các chức năng khác nhau mà dẫn tới VSCs. Đó là một Windows service, primary key là :
HKLM\System\CurrentControlSet\Services\VSS
Không có nhận xét nào:
Đăng nhận xét