Volume Shadow Copy (VSS) Forensics
Volume Shadow Copy (VSS) Forensics
Volume Shadow Copy (VSS) ႏွင့္ System Restore Points Volume ျခားနားခ်က္ကေတာ့
system restore point မွာ OS ရဲ႕ Good Condition အေနအထားကုိပဲေရာက္ရွိေစမွာ ျဖစ္ပါတယ္။သူနဲ႕တြဲလွ်က္ရွိတဲ့ Volume Shadow Copy မွာေတာ့ User ရဲ႕ အရင္တစ္ခ်ိန္ကရွိခဲ့တဲ့ File folder Web History , Registry , etc စတာေတြကုိရရွိႏုိင္ပါတယ္။ Volume Shadow Copy (VSS) ကေတာ့ NTFS file System ကုိပဲ Support လုပ္ပါတယ္။ VSS ကုိ ရွာေဖြႏုိင္တဲ့ Tools ေတြ Free ရရွိႏုိင္ပါတယ္။ vssadmin နဲ႕လဲ cmd(admin) ျဖင့္ရွာေဖြႏုိင္ပါတယ္။ လက္ရွိေခတ္စားေနတဲ့ Forensics Tools ေတြမွာ Volume Shadow Copy (VSS) အတြက္ သီးသန္႕ ရွာေဖြစစ္ေဆးလုိ႕ရတာေတြရွိပါတယ္။ example Encase
system restore point မွာ OS ရဲ႕ Good Condition အေနအထားကုိပဲေရာက္ရွိေစမွာ ျဖစ္ပါတယ္။သူနဲ႕တြဲလွ်က္ရွိတဲ့ Volume Shadow Copy မွာေတာ့ User ရဲ႕ အရင္တစ္ခ်ိန္ကရွိခဲ့တဲ့ File folder Web History , Registry , etc စတာေတြကုိရရွိႏုိင္ပါတယ္။ Volume Shadow Copy (VSS) ကေတာ့ NTFS file System ကုိပဲ Support လုပ္ပါတယ္။ VSS ကုိ ရွာေဖြႏုိင္တဲ့ Tools ေတြ Free ရရွိႏုိင္ပါတယ္။ vssadmin နဲ႕လဲ cmd(admin) ျဖင့္ရွာေဖြႏုိင္ပါတယ္။ လက္ရွိေခတ္စားေနတဲ့ Forensics Tools ေတြမွာ Volume Shadow Copy (VSS) အတြက္ သီးသန္႕ ရွာေဖြစစ္ေဆးလုိ႕ရတာေတြရွိပါတယ္။ example Encase
Encase မွာဆုိရင္ အရင္ အစ္ကုိေရးထာတဲ့အတုိင္းပဲ forensics image ကုိ Write Protect device နဲ႕တြဲဖက္ၿပီးရယူ ၿပီးရင္ Image file ကုိ MD5 SHA တစ္ခုခုသုံၿပီး Hash value (True Copy) ျဖစ္ေအာင္
လုပ္ပါမယ္။ ၿပီးရင္ Forensics WorkStation မွာ ခုနက ယူထားတဲ့ forensics image file ကုိ Mount လုပ္ၿပီး
Volume Shadow Copy (VSS) ကုိရွာေဖြရမွာျဖစ္ပါတယ္။ ရွာေဖြတဲ့အခါ VSS ရွိရင္ VSS ဘယ္ႏွစ္ခုရွိလဲဆုိတာျပသပါမယ္။ Case အေနအထားအရ ကုိယ္လုိအပ္တဲ့ အခ်ိန္ကာလ ကုိရွာေဖြစစ္ေဆးရမွာျဖစ္ပါတယ္။
လုပ္ပါမယ္။ ၿပီးရင္ Forensics WorkStation မွာ ခုနက ယူထားတဲ့ forensics image file ကုိ Mount လုပ္ၿပီး
Volume Shadow Copy (VSS) ကုိရွာေဖြရမွာျဖစ္ပါတယ္။ ရွာေဖြတဲ့အခါ VSS ရွိရင္ VSS ဘယ္ႏွစ္ခုရွိလဲဆုိတာျပသပါမယ္။ Case အေနအထားအရ ကုိယ္လုိအပ္တဲ့ အခ်ိန္ကာလ ကုိရွာေဖြစစ္ေဆးရမွာျဖစ္ပါတယ္။
Comments