Windowsボリュームシャドウコピーサービス(VSS)を使用すると、オペレーティングシステムの実行中に、保護されたシステムファイルを含むファイルのバックアップを作成できます。 WindowsはVSSを使用して、NTFSボリューム上のデータブロックの定期的な差分バックアップを作成します。 これらのバックアップはボリュームシャドウコピーと呼ばれ、ボリュームのルートにあるシステムボリューム情報フォルダーに保存されます。 これらのバックアップを分析することで、フォレンジックツールは、さまざまな時点でのシステム(ユーザーデータを含む)の外観のスナップショットを提供し、削除または上書きされたファイルの回復、以前の時点からのレジストリとログファイルのスナップショット、および比較を可能にします。ファイルが時間の経過とともにどのように変化したかについて。 稼働中のシステムでは、vssadminコマンドを使用して、使用可能なボリュームシャドウコピーを一覧表示できます。
オープンソースツールを使用して、イメージドライブからボリュームシャドウコピーデータにアクセスすることもできます。 この目的で人気のあるプロジェクトの1つは、https://github.com/libyal/libvshadowにあるlibvshadowです。 libvshadowは、SIFTフォレンジックワークステーションにも含まれています。 インストールされると、libvshadowはボリュームシャドウコピーデータにアクセスするための2つのコマンドラインツールを提供します。 ザ vshadowinfo ユーティリティは、存在するボリュームシャドウコピーを表示します。vshadowmountを使用すると、特定のボリュームシャドウコピーをマウントしてさらに分析することができます。
以下のエラーが発生した場合:
vshadowmount: command not found
ディストリビューションの選択に従って、以下のパッケージをインストールしてみてください。
| 分布 | 指示 |
|---|---|
| Debian | apt-get install libvshadow-utils |
| Ubuntu | apt-get install libvshadow-utils |
| Kali Linux | apt-get install libvshadow-utils |
| ラズビアン | apt-get install libvshadow-utils |
The post コマンドが見つかりません–オタク日記 appeared first on Gamingsym Japan.