data leakage case #47~50, Volume Shadow Copies(VSC)

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

#47. Where are Volume Shadow Copies stored?  When were they created?

---

1. WinHex 를 통해 다음의 경로에서 확인

Volume Shadow File Path : \System Volume Information\

2. 다음의 명령어를 통해 시간 정보 확인(HOST PC의 timezone이 적용)

vsadmin list shadows /for={마운트된 이미지 경로}:

2015-03-25 23:57:27 (UTC+9) 즉, 2015-03-25 10:57:27(UTC-4)에 해당 볼륨 섀도 파일이 생성되었음을 알 수 있다.

#48. Find traces  related  to Google Drive service  in Volume Shadow Copy. What are the differences 

between the current system image (of Question 29 ~ 31) and its VSC?

---

ShadowCopyView 를 이용하면, 다음의 3가지 파일을 찾을 수 있다. 이전의 글 #29~31 에서 현재 시스템에서는 sync_log.log, snapshot.db 파일이 안티포렌식을 위해 삭제되어 분석에 제한이 있었으나, 볼륨섀도우를 통해 해당 파일들을 복구할 수 있다.

\User\informant\AppData\Local\Google\Drive\user_default\sync_log.log

\User\informant\AppData\Local\Google\Drive\user_default\snapshot.db [deleted]

\User\informant\AppData\Local\Google\Drive\user_default\sync_config.db [deleted]

ShadowCopyView의 시간값은 HOST PC의 timezone이 적용된 값이다.

2015-03-23 16:02:51(UTC-4)에 관련 파일들이 생성되었고, 2015-03-23 16:47:55(UTC-4)에 수정되었음을 알 수 있다.

#49. What files were deleted from Google Drive?  

Find deleted records of cloud_entry table inside snapshot.db from VSC. 

(Just examine the SQLite database only. Let us suppose that a text based log file was wiped.) 

[Hint: DDL of cloud_entry table is as follows.] 

  CREATE TABLE cloud_entry  

(doc_id  TEXT, filename  TEXT, modified  INTEGER, created  INTEGER, acl_role  INTEGER, 

doc_type  INTEGER, removed  INTEGER, size  INTEGER, checksum  TEXT, shared  INTEGER, 

resource_type TEXT, PRIMARY KEY (doc_id));

---

SQLite-Deleted-Records-Parser (Python2)을 이용한다.

https://github.com/mdegrazia/SQLite-Deleted-Records-Parser

http://az4n6.blogspot.com/2013/11/python-parser-to-recover-deleted-sqlite.html

snapshot.db 를 input 으로 하여 report.tsv 를 다음과 같이 생성한다.

[Usage]

[Deleted Files]

C:\Users\Informant\Google Drive\happy_holiday.jpg

C:\Users\Informant\Google Drive\do_u_wanna_build_a_snow_man.mp3

#50. Why can’t we find Outlook’s e-mail data in Volume Shadow Copy?

---

Outlook OST files were excluded by the following snapshot configuration.

[snapshot configuration registry value]

HKLM/SYSTEM/ControlSet###/Control/BackupRestore/FilesNotToSnapshot