eCDFP (Module-6) (Window Forensics) (Part - 4 )

Volume Shadow Copy Service (VSS) ကိုတော့ တော်တော်များများက System Restore Point အနေနဲ့အသိများပါတယ်။ VSS ကို အသုံးပြုတဲ့ User အပေါ်မူတည်ပြီး Volume တွေတင်မကဲ Directory တွေအထိအသုံးပြုနိုင်ပါတယ်။ VSS ကို Manual (သို့မဟုတ်)  Schedule Task အနေနဲ့ ပြုလုပ်နိုင်ပြီး VSS Storage Size ကို User  ကနေ Manual သတ်မှတ်နိုင်ပါတယ်။ VSS On/OFF ကိုလဲ User ကနေ Manual သတ်မှတ်နိုင်ပါတယ်။ System Restore ပြုလုပ်ဖို့သတ်မှတ်ထားတဲ့ Restore Size ပြည့်သွားရင် Previous Restore Point ကိုဖျက်ပြီး Restore Point အသစ်ကနေပြန်စမှာဖြစ်ပါတယ်။ Volume Shadow Copy Service (VSS) (System Restore) ဘယ်အချိန်မှာ Created ပြုလုပ်သလဲဆိုရင်

• -       Created By User Manual
• -       When Service Pack Is Installed
• -       Before Installing New Software or Drivers
• -       Before Applying Window Updates
• -       Schedule Task
• -       Some Software Request To Create Restore Point
• -       Once a week if no other restores points have been created recently

Forensics Artifacts အနေနဲ့ ဘာတွေရနိုင်သလဲဆိုရင်  (VSS Volume ကို Shadow Explorer နဲ့ကြည့်လိုက်ရင် ဘာကြောင့်အခုလို Artifacts တွေရလဲဆိုတာ သိနိုင်ပါတယ်။)

• -       Files
• -       Registry Keys
• -       Logs
• -       Deleted Data Or Tempered Data 

VSS (System Restore Configuration) 

Vssadmin command ကိုအသုံးပြုပြီး Shadowcopy ကိုအောက်ပါ Command နဲ့ကြည့်နိုင်ပါတယ် -

vssadmin list shadows

Shadow Copy Storage ကိုအောက်ပါ Command နဲ့ကြည့်နိုင်ပါတယ် -

vssadmin list shadowstorage

shadowexplorer  ကိုအသုံးပြုပြီး VSS ကိုအောက်ပါအတိုင်းကြည့်နိုင်ပါတယ် - 

shadow_copy_view ကိုအသုံးပြုပြီး VSS ကိုအောက်ပါအတိုင်းကြည့်နိုင်ပါတယ်။ Delete Photo (2) ပုံကို VSS မှာတွေ့နိုင်ပါတယ်။ 

Analysis VSS Only with Magnet Axiom 

File History

Storage Volume/ File/ Folder တွေရဲ့ Properties ကိုကြည့်ရင် Previous Version ဆိုတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ Previous Version ဆိုတာက Storage Volume/ File/ Folder တွေရဲ့ Previous Stage အရင်အခြေအနေကိုပြန်လည်ရယူတာဖြစ်ပါတယ်။ Previous Version အတွက် Window 10/11 မှာ  File History ကို User ကနေ LAN သို့မဟုတ် Removable Storage ပေါ်မှာ Backup ပြုလုပ်ထားမှာသာ အဲဒီ Backup နဲ့အတူ Previous Version ကို ပြန်လည်ကြည့်နိုင်မှာဖြစ်ပါတယ်။ Volume Shadow Copy မသတ်ဆိုင်ပဲ File History ကို ခုနက LAN သို့မဟုတ် Removable Storage ပေါ်မှာ Backup ပြုလုပ်ထားမှာသာ Previous Version Tab ကနေ ပြန်ကြည့်နိုင်မှာဖြစ်ပါတယ်။ (Relies On The File History feature instead of the Volume Shadow Copy )

File History ကနေ ဘာတွေကို သိမ်းဆည်းလဲဆိုရင် Libraies, Desktop items, Contacts, Favorites တို့ကို History အနေနဲ့ သိမ်းဆည်းထားပါတယ်။ Backup လုပ်တဲ့အချိန်ကတော့ Default အနေနဲ့ Every Hour အတိုင်းသိမ်းဆည်းပါတယ်။

Previous Version (File History)

File History Configuration 

File History ရဲ့ Configuration ကိုကြည့်ပြီး File History က ဘာတွေကို သိမ်းဆည်းလဲ ဘယ်အချိန်မှာ သိမ်းဖို့ သတ်မှတ်ထားလဲဆိုတာတွေကိုတွေ့နိုင်ပါတယ်။ File History Configuration -

 C:\Users\UserNameAppData\Local\Microsoft\Windows\FileHistory

VSS & File History Different