Una macchina del tempo in Windows - Accesso e analisi delle copie shadow

Una macchina del tempo in
Windows
Accesso e analisi
delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com

Accesso e analisi delle copie shadow
•  Volume shadow copy (VSS) è un servizio di microsoG windows che crea è gesHsce
snapshots di volumi disco NTFS
•  E’ il sistema di supporto al servizio di system restore, e permeOe di recuperare
importanH file di sistema in caso di gravi problemi soGware.
•  E’ aRvo per default sul volume dove è installato il sistema operaHvo
•  Il servizio traccia tuOe le modifiche che intervengono nel volume e crea
periodicamente dei contenitori che accumulano esclusivamente tali differenze


•  Windows Server 2003
•  Windows Vista (tutte le versioni)
•  Windows Server 2008 e successivi
•  Windows 7 (tutte le versioni)
•  Windows 8 e 8.1 (tutte le versioni)
•  Windows 10 (tutte le versioni)
•  Creazione manuale (Vista & 7)
•  Ogni 24 ore (Vista)
•  Ogni 7 giorni (7)
•  Prima di un aggiornamento di Windows (Vista & 7)
•  Installazione di driver non cerHﬁcaH (Vista & 7)
•  L’uHlizzo di programmi che chiamano le API VSS di
sistema (Vista & 7)

•  Non è un sistema di versionamento; le copie shadow permettono di accedere
solamente all’ultima versione del file in quel particolare punto di ripristino
•  Non è un sistema di backup in quanto:
•  verranno salvati solo i blocchi modificati e non gli interi file, quindi uno snapshot senza
il volume da cui proviene non ha molto senso (difference file)
•  Gli snapshot sono salvati (per default) sullo stesso volume dei dati originali!
•  Non c’è garanzia di creazione regolare degli snapshot (a meno che non lo creiamo
noi)
•  Non c’è garanzia di trovare lo snapshot giusto quando lo andiamo a cercare
In definitiva VSS non è un servizio per l’utente, ma per il sistema
Cosa non sono le Shadow copy …

•  Ok…, e cosa ci trovo dentro alle copie shadow:
•  Versioni precedenti dell’intero sistema
•  Versioni precedenti di file attualmente nel sistema (registry
hive, eventi, file dell’utente)
•  File non più nel sistema … se il file è stato scritto sul disco
e poi cancellato, è di sicuro in una shadow copy … se la
shadow copy esiste ancora
•  Possibilità di trovare versioni in chiaro di file oggi cifrati

C:System Volume Informa4on

•  Nel registro di sistema può essere speciﬁcato quali ﬁle non devono far parte dello
snapshot

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestore

>vssadmin.exe list shadowstorage

WINDOWS 8.1
******
Used Shadow Copy Storage space: 3,39 GB (1%)
Allocated Shadow Copy Storage space: 3,74 GB (1%)
Maximum Shadow Copy Storage space: 10,0 GB (4%)

WINDOWS 10
******
Used Shadow Copy Storage space : 7,05 GB (0%)
Allocated Shadow Copy Storage space : 7,35 GB (0%)
Maximum Shadow Copy Storage space : 10,0 GB (1%)

Windows 8.1 - HDD 256GB Windows 10 - HDD 1TB
>vssadmin Resize ShadowStorage /For=C: /On=C: /MaxSize=1GB
>vssadmin Resize ShadowStorage /For=C: /On=E: /MaxSize=20GB


Contents of shadow copy set ID: {326cf9c2-dc35-4d0c-8f75-e33c7c616e22}
Contained 1 shadow copies at creaHon Hme: 20/10/2015 00:17:15
Shadow Copy ID: {0f200412-759b-4b97-88d9-d13135d9022b}
Original Volume: (C:)?Volume{a2593b82-a59c-11e4-824b-806e6f6e6963}
Shadow Copy Volume: ?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
OriginaHng Machine: i7-home
Service Machine: i7-home
Provider: 'MicrosoG SoGware Shadow Copy provider 1.0'
Type: ClientAccessibleWriters
AOributes: Persistent, Client-accessible, No auto release, DiﬀerenHal, Auto recovered

Contents of shadow copy set ID: {b78c1bed-7e22-43a8-95ea-951684a66f3b}
Contained 1 shadow copies at creaHon Hme: 29/10/2015 10:34:07
Shadow Copy ID: {e087e654-a1d4-479f-9022-3556a6c0cebf}
Original Volume: (C:)?Volume{a2593b82-a59c-11e4-824b-806e6f6e6963}
Shadow Copy Volume: ?GLOBALROOTDeviceHarddiskVolumeShadowCopy2
OriginaHng Machine: i7-home
Service Machine: i7-home
Provider: 'MicrosoG SoGware Shadow Copy provider 1.0'
Type: ClientAccessibleWriters
AOributes: Persistent, Client-accessible, No auto release, DiﬀerenHal, Auto recovered
•  Elencare le shadow copy locali: Semplice
C:WindowsSystem32>vssadmin.exe list shadows /for=c:

•  Accedere le shadow copy locali: Semplice
•  Creazione link simbolico
C:WindowsSystem32>mklink /d c:{test-shadow} ?GLOBALROOTDeviceharddiskvolumeshadowcopy1
collegamento simbolico creato per c:{test-shadow} <<===>> ?GLOBALROOTDeviceharddiskvolumeshadowcopy1

•  Accedere le shadow copy locali: Semplice
•  Creazione share di rete
net share testshadow=.globalrootdeviceharddiskvolumeshadowcopy1

•  Acquisizione le shadow copy locali: Semplice
•  FTK Imager
Possiamo anche usare dd.exe
hOp://gmgsystemsinc.com/fau/
dd.exe -v if=?GLOBALROOTDeviceharddiskvolumeshadowcopy1 of=myimage.bin

•  Ma spesso i PC da analizzare sono spenti, e quindi …
come accedo alle shadow copy in fase di dead
forensics?
•  Non basta un doppio click sul difference file …
•  I difference file dovranno essere valutati in seno al volume in cui si
trovano
•  La «catena» di difference file dovrà essere integra, non dovranno
esserci dei buchi temporali
•  I numerosi tools di computer forensics hanno affrontato la questione
in modo diverso.

•  Metodo «Windows»
•  Tools : Ftk Imager, ImDisk, shadow Explorer, VHDtool – vboxmanage (Virtualbox)
•  Operazioni da compiere
•  Montaggio dell’immagine E01 con FTK imager e creazione unità di sistema (es. F:)
•  vssadmin.exe list shadows /for=F: --- (errore, ops F: non è parte del Sistema!)
•  Esecuzione di shadow explorer : --- ( errore, F: non viene visualizzato! )
•  Tentativo di montaggio del volume con ImDisk --- (stesso errore del montaggio con
FTK)
•  Conversione E01 in DD ---- FTK Imager
•  Conversione DD in VHD ---- VBOXMANAGE
•  Aggiunta del VHD --- Computer –Manage -- Disk Manager -- Action -> Attach VHD
•  Spuntare il flag "Read-only“
•  vssadmin.exe list shadows /for=F: (funziona!!!)
•  mklink /d c:{test-shadow} ?GLOBALROOTDeviceHarddiskVolumeShadowCopy1

•  Metodo «Windows» - Decisamente impegnaHvo
•  Encase, X-Ways, FTK e altri tools commerciali estraggono e analizzano le
shadow copy, ma se si confrontano i risultaH possono emergere diﬀerenze.
Meglio confrontare i risultaH oOenuH anche mediante l’uHlizzo di altri tools.
•  A okobre 2012 Joachim Metz presenta le libvshadow
•  Vengono inserite nella distro SIFT del SANS, oggi siamo alla V 3.0
•  Danno la possibilità all’analista di accedere con semplicità, rapidità ed
eleganza alle shadow copy contenute in un volume di sistema Windows

•  Metodo OPEN - Decisamente migliore
Passo 1) Montaggio dell’immagine E01 (ewfmount), esposizione DD
Passo 2) Ricerca nel DD della partizione windows (sleuthkit)
Passo 3) Lettura elenco shadow copy (libvshadow)
Passo 4) Montaggio ed esposizione dell’elenco delle shadow copy (libvshadow)
Passo 5) Enjoy

Passo 5) Enjoy

libevt - Strumen4 per l’accesso ai ﬁle in formato EWF (E01)
ewfacquire ewfdebug
ewfinfo ewfrecover
ewfacquirestream ewfexport
ewfmount ewfverify

Passo 1) Montaggio dell’immagine E01 (ewfmount), esposizione DD
# ewfmount image.E01 /mnt/ewf
mnt/ewf# ls -la
total 4
drwxr-xr-x 2 root root 0 Nov 12 23:08 .
drwxr-xr-x 23 root root 4096 Mar 13 2014 ..
-r--r--r-- 1 root root 500107862016 Nov 12 23:08 ewf1

/mnt/ewf# mmls ewf1
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0028905471 0028903424 Unknown Type (0x27)
03: ----- 0028905472 0028907519 0000002048 Unallocated
04: 00:01 0028907520 0029112319 0000204800 NTFS (0x07)
05: 00:02 0029112320 0976773167 0947660848 NTFS (0x07)
Passo 2) Ricerca nel DD della par4zione windows (sleuth kit)
START in sectors

/mnt/ewf# fsstat -o 29112320 ewf1
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: NTFS
Volume Serial Number: BE08E18608E13E51
OEM Name: NTFS
Version: Windows XP
METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 786432
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 147712
Root Directory: 5
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuthkit) – Veriﬁca ﬁle system

/mnt/ewf# fls -o 29112320 ewf1
*******************************
r/r 6-128-4: $Bitmap
r/r 7-128-1: $Boot
d/d 11-144-4: $Extend
r/r 2-128-1: $LogFile
r/r 0-128-1: $MFT
r/r 1-128-1: $MFTMirr
*******************************
d/d 40-144-6: Program Files
d/d 199-144-6: Program Files (x86)
d/d 277-144-6: ProgramData
d/d 62931-144-1: Programmi
*******************************
d/d 24648-144-7: System Volume Information
d/d 69618-144-5: temp
d/d 372-144-5: Users
*******************************
d/d 537-144-7: Windows
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuthkit) – Veriﬁca ﬁle system

/mnt/ewf# fls -o 29112320 ewf1 24648
*******************************
r/r 136008-128-1: {0fd04a8e-9811-11e1-8a61-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 63491-128-1: {14f706a1-9b39-11e1-89ce-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 60587-128-1: {14f7074b-9b39-11e1-89ce-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 72658-128-1: {39f9bb1f-9e52-11e1-b646-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 72549-128-1: {8a006247-a496-11e1-9b76-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 144364-128-1: {9f05d649-8f68-11e1-89ed-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 140159-128-1: {a5b19a36-976b-11e1-8c37-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 140683-128-1: {a5b19a70-976b-11e1-8c37-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 60142-128-1: {ceeeb5aa-9376-11e1-89ec-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 116748-128-1: {ddb3d5a0-a188-11e1-8c06-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 138871-128-1: {e4bc500a-9686-11e1-9aad-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuth kit) – Veriﬁca ﬁle system

/mnt/ewf# vshadowinfo -o $((29112320*512)) ewf1
*******************************
Volume Shadow Snapshot information:
Number of stores: 11
Store: 1
Identifier : 9f05d649-8f68-11e1-89ed-ccaf78c68d1c
Shadow copy set ID : cc13ecf3-e30e-4df1-a06c-dcb6178d29e0
Creation time : Apr 26, 2012 14:52:56.168795800 UTC
Shadow copy ID : 5e260bc5-cade-4a1c-b71c-e5c9ff5f71f6
Volume size : 485202354176 bytes
Attribute flags : 0x0042000d
*******************************
Passo 3) Lekura elenco shadow copy (libvshadow)
*******************************
Store: 11
Identifier : 8a006247-a496-11e1-9b76-ccaf78c68d1c
Shadow copy set ID : 3382b8c2-200c-4ca3-80d4-3bf27f60d473
Creation time : May 23, 2012 19:43:28.853775700 UTC
Shadow copy ID : 1de74652-0dd1-43e6-8ab2-592192189d72
Volume size : 485202354176 bytes
Attribute flags : 0x0042000d

/mnt/ewf# vshadowmount -o $((29112320*512)) ewf1 /mnt/vss
vshadowmount 20131209
/mnt/ewf# ls -la /mnt/vss/
total 4
drwxr-xr-x 2 root root 0 Nov 12 23:19 .
drwxr-xr-x 23 root root 4096 Mar 13 2014 ..
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss1
Passo 4) Montaggio ed esposizione dell’elenco delle shadow copy (libvshadow)

/mnt/vss# mount vss1 /mnt/windows_mount1
Passo 5) Enjoy

EVTEXPORT EVTINFO
EVTXEXPORT EVTXINFO
Passo 5) Enjoy

libevt - Strumen4 per l’analisi degli even4 di sistema

/mnt/vss# evtxinfo /mnt/windows_mount1/Windows/System32/winevt/Logs/Security.evtx
evtxinfo 20140112
Windows Event Viewer Log (EVTX) information:
Version : 3.1
Number of records : 9647
Number of recovered records : 0
Log type : Security
Flags:
Is dirty
Passo 5) Enjoy

# evtxexport /mnt/windows_mount1/Windows/System32/winevt/Logs/Security.evtx > export-security.txt
Passo 5) Enjoy
****************************************************
Event number : 5977
Written time : Feb 12, 2012 18:05:23.521610600 UTC
Event level : Information (0)
Computer name : Tizio-VAIO
Source name : Microsoft-Windows-Security-Auditing
Event identifier : 0x00001210 (4624)
Number of strings : 20
String: 1 : S-1-5-18
String: 2 : TIZIO-VAIO$
String: 3 : WORKGROUP
****************************************************

Passo 5) Enjoy – Comparazione del registry
hOp://sourceforge.net/projects/regshot/
Regshot is an open-source (LGPL) registry compare
uHlity that allows you to quickly take a snapshot of
your registry and then compare it with a second one
- done aGer doing system changes or installing a
new soGware product.

# mount vss1 /mnt/windows_mount1
# cp -a /mnt/windows_mount1/Users/Tizio/NTUSER.DAT NT-old.dat
# mount -o ro,offset=$((29112320*512)) /mnt/ewf/ewf1 /mnt/windows_mount
# cp -a /mnt/windows_mount/Users/Tizio/NTUSER.DAT NT-new.dat
hOp://sourceforge.net/projects/regshot/
Prelievo da Shadow
Prelievo da volume aOuale

Keys added: 8
Values added: 36
Values modiﬁed: 25
Total changes: 69
hOp://www.howtogeek.com/198679/how-to-use-regshot-to-monitor-your-registry/

Validazione temporale dei contenu4:
•  Quale validità temporale posso dare a ciò che è contenuto nelle copie shadow?
•  I file allocaH e molH dei cancellaH hanno metadaH che li posizionano nel tempo, ma
un seOore abbandonato nel free space di un volume shadow che conHene testo
interessante? …. Può essere datato?
•  “Only one thing is sure, your finding is dated before the last modificaLon of that
shadow volume” ------- mail@x-ways.com
•  hkps://technet.microsor.com/en-us/library/ee923636(v=ws.10).aspx

Grazie

Una macchina del tempo in Windows - Accesso e analisi delle copie shadow

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (7)

Similar to Una macchina del tempo in Windows - Accesso e analisi delle copie shadow

Similar to Una macchina del tempo in Windows - Accesso e analisi delle copie shadow (20)

Una macchina del tempo in Windows - Accesso e analisi delle copie shadow