[VSS]
VSS는 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능을 말한다. 즉, 시스템 복원 기능을 말하며 컴퓨터 전체를 복원 지점으로 되돌리거나 특정 파일/폴더를 이전 버전으로 되돌릴 수 있다.
시스템 속성\시스템 보호에서 복원 지점을 만들 수 있다.
구성 버튼을 누른 다음 시스템 보호 사용 설정과 디스크 공간 설정을 진행한다. 설정을 적용한 다음 만들기 버튼을 클릭하면 시스템 복원 지점이 만들어진다.
[Practice]
cmd에서 명령어를 통해서도 VSS 확인이 가능하다. vssadmin list shadows 명령어를 입력하면 복사본이 생성되는 것을 확인할 수 있다.
섀도 복사본 볼륨를 이용하여 파일 탐색기를 사용한 접근이 가능하다. "mklink /d <링크 폴더> <섀도 복사본 볼륨>\"으로 명령어를 입력한다.
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 새도 복사본 볼륨을 이용하여 mklink /d C:\vssadmin_link \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\으로 기호화된 링크를 만들었다.
파일 탐색기로 C:\vssadmin_link에 접근이 가능하다. C:\vssadmin_link는 로컬 디스크 (C:)에 접근했을 때와 동일한 화면을 보여준다.
위 과정 대신에 ShadowExplorer를 사용하여 VSS를 확인할 수 있다.
https://www.shadowexplorer.com/downloads.html
ShadowExplorer.com - Downloads
Downloads Here you can download the latest version of ShadowExplorer, a free replacement for the Previous Versions feature of Microsoft Windows® VistaTM / 7 / 8 / 10. You can restore lost or damaged files from Shadow Copies. However, it is by no means a r
www.shadowexplorer.com
따로 링크를 생성할 필요 없이 복원 지점을 선택할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Recycle Bin 개념 및 실습 (0) | 2022.07.30 |
|---|---|
| Windows Search 개념 및 실습 (0) | 2022.07.29 |
| Event Logs 개념 및 실습 (0) | 2022.07.29 |
| Windows Timeline 개념 및 실습 (0) | 2022.07.29 |
| ThumbnailCache & IconCache 개념 및 실습 (0) | 2022.07.29 |
