More About Volume Shadow Copies

Tuesday, May 8, 2012 Posted by Corey Harrell

CyberSpeak Podcast About Volume Shadow Copies


I recently had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to talk with Ovie about Volume Shadow Copies (VSCs) on his CyberSpeak podcast. It was a great experience to meet Ovie and see what it’s like behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenes. (I’ve never been on a podcast before and I found out quickly how tough it is to explain something technical without visuals). The CyberSpeak episode May 7 Volume Shadow Copies is online and in it we talk about examining VSCs. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview I mentioned a few different things about VSCs and I wanted to elaborate on a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Specifically, I wanted to discuss running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper plugins to identify volumes with VSCs, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift to access VSCs, comparing a user profile across VSCs, and narrowing down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSC comparison reports with Grep.

Determining Volumes with VSCs and What Files Are Excluded from VSCs


One of my initial steps on an examination is to profile a system so I can get a better idea about what I’m facing. I information I look at includes: basic operating system info, user accounts, installed software, networking information, and data storage locations. I do this by running Regripper in a batch script to generate a custom report containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I want. I blogged about this previously in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Obtaining Information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operating System and I even released my Regripper batch script (general-info.bat). I made some changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script; specifically I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs plugins spp_clients.pl and filesnottosnapshot.pl. The spp_clients.pl plugin obtains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes monitored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volume Shadow Copy service and this is an indication about what volumes may have VSCs available. The filesnottosnapshot.pl plugin gets a list of files/folders that are not included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs (snapshots). The information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs plugins provide is extremely valuable to know early in an examination since it impacts how I may do things.

While I’m talking about RegRipper, Harlan released RegRipper version 2.5 his post RegRipper: Update, Road Map and furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explained how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new RegRipper to extract info from VSCs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent post Approximating Program Execution via VSC Analysis with RegRipper. RegRipper is an awesome tool and is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few tools I use on every single case. The new update lets RR run directly against VSCs making it even better. That’s like putting bacon on top of bacon.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift to Access VSCs


There are different ways to access VSCs stored within an image. Two potential ways are using Encase with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDE module or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VHD method. Sometime ago Gerald Parsons contacted me about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to access VSCs; he refers to it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method. The method uses a combination of Windows 7 iSCSI Initiator and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation. I encouraged Gerald to do a write-up about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method but he was unable to due to time constraints. However, he said I could share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach and his work with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. In this section of my post I’m only a ghost writer for Gerald Parsons and I’m only conveying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed information he provided me including his screenshots. I only made one minor tweak which is to provide additional information about how to access a raw image besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e01 format.

To use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method requires a virtual machine running an iSCSI service (I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation inside VMware) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host operating system running Windows 7. The method involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following steps:

Sift Workstation Steps

1. Provide access to image in raw format
2. Enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIFT iSCSI service
3. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI configuration file
4. Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iscsitarget service

Windows 7 Host Steps

5. Search for iSCSI to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program
6. Launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator
7. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift IP Address and connect to image
8. Examine VSCs

Sift Workstation Steps


1. Provide access to image in raw format

A raw image needs to be available within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift workstation. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image is already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw format and is not split cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n nothing else needs to be done. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image is a split raw image or is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e01 format cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next commands needs to be used so a single raw image is available.

Split raw image:

sudo affuse path-to-image mount_point

E01 Format use:

sudo mount_ewf.py path-to-image mount_point

2. Enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIFT iSCSI service

By default, in Sift 2.1 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI is turned off so it needs to be turned on. The false value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /etc/default/iscsitarget configuration file needs to be change to true. The commands below uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gedit text editor to accomplish this.

sudo gedit /etc/default/iscsitarget

(Change “false” to “true”)


3. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI configuration file

The iSCSI configuration file needs to be edited so it points to your raw image. Edit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /etc/ietd.conf configuration file by performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first command opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 config file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text editor Gedit):

sudo gedit /etc/ietd.conf

Comment out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following line by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 # symbol in front of it:

Target iqn.2001-04.com.example:storage.disk2.sys1.xyz

Add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two lines (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date can be whatever you want (2011-04) but make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image path points to your raw image):

Target iqn.2011-04.sift:storage.disk
Lun 0 Path=/media/path-to-raw-image,Type=fileio,IOMode=ro


4. Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iscsitarget service

Restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI service with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following command:

sudo service iscsitarget restart


Windows 7 Host Steps


5. Search for iSCSI to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program

Search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 built-in iSCSI Initiator program


6. Launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator

Run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator program

7. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift IP Address and connect to image

The Sift workstation will need a valid IP address and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 host must be able to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift using it. Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift’s IP address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick Connect.


A status window should appear showing a successful connection.


8. Examine VSCs

Windows automatically mounts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image’s volumes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host after a successful iSCSI connection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift. In my testing it took about 30 seconds for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes to appear once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection was established. The picture below shows Gerald’s host system with two volumes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic image mounted.


If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any VSCs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted volumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be examined with your method of choice (cough cough Ripping VSCs). Gerald provided additional information about how he leverages Dave Hull’s Plotting photo location data with Bing and Cheeky4n6Monkey Diving in to Perl with GeoTags and GoogleMaps to extract metadata from all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs images to create maps. He extracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metadata by running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cool thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI Initiator Method (besides being anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r free solution to access VSCs) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift iSCSI service from multiple computers. In my test I connected a second system on my network to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sift iSCSI service while my Windows 7 host system was connected to it. I was able to browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image’s volumes and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time from my host and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Really cool…. When finished examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volumes and VSCs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can disconnect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iSCSI connection (in my testing it took about a minute to completely disconnect).


Comparing User Profile Across VSCs


I won’t repeat everything I said in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberSpeak podcast about my process to examine VSCs and how I focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest. Focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile of interest within VSCs is very powerful because it can quickly identify interesting files and highlight a user’s activity about what files/folders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y accessed. Comparing a user profile or any folder across VSCs is pretty simple to do with my vsc-parser script and I wanted to explain how to do this.

The vsc-parser is written to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between entire VSCs. In some instances this may be needed. However, if I’m interested in what specific users were doing on a computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better option is to only compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profiles across VSCs since it’s faster and provides me with everything I need to know. You can do this by making two edits to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch script that does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison. Locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file named file-info-vsc.bat inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vsc-parser folder as shown below.


Open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with a text editor and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function named :files-diff. The function executes diff.exe to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between VSCs. There are two lines (lines 122 and 129) that need to be modified so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file path reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile. As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script is written to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounted image (%mount-point%:\) and VSCs (c:\vsc%%f and c:\vsc!f!).


These paths need to be changed so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile location. For example, let's say we are interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile named harrell. Both lines just need to be changed to point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user profile. The screenshot below now shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated script.


When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script executes diff.exe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison reports are placed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Output folder. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reports for comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user profile across 25 VSCs.


Reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VSCs Comparison Reports


When comparing a folder such as a user profile across VSCs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be numerous differences that are not relevant to your case. One example could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity associated with Internet browsing. The picture below illustrates this by showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report comparing VSC 12 to VSC11.


The report showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between VSC12 and VSC11 had 720 lines. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of lines that are not important. A quick way to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is to use grep.exe with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 –v switch to only display non-matching lines. I wanted to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in my report involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet activity. The folders I wanted to get rid of were: Temporary Internet Files, Cookies, Internet Explorer, and History.IE5. I also wanted to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppData\LocalLow\ CryptnetUrlCache folder. The command below shows how I stacked my grep commands to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lines and I saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into a text file named reduced_files-diff_vsc12-2-vsc11.txt .

grep.exe -v "Temporary Internet Files" files-diff_vsc12-2-vsc11.txt | grep.exe -v Cookies | grep.exe -v "Internet Explorer" | grep.exe -v History.IE5 | grep.exe -v CryptnetUrlCache > reduced_files-diff_vsc12-2-vsc11.txt

I reduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report from 720 lines to 35. It’s good practice to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report again to make sure no obvious lines were missed before running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same command against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VSC comparison reports. Staking grep commands to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data to look at makes it easier to spot items of potential interest such as documents or Windows link files. It’s pretty easy to see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harrell user account was accessing a Word document template, an image named staples, and a document named Invoice-#233-Staples-Office-Supplies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reduced_files-diff_vsc12-2-vsc11.txt report shown below.


I compare user profiles across VSCs because it’s a quick way to identify data of interest inside VSCs. Regardless, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is images, documents, user activity artifacts, email files, or anything else that may stored inside a user profile or that a user account accessed.


Post a Comment