Volume Shadow Copy 系統還原點 數位鑑識 跡證 鑑識

破解Windows系統還原點 找回已被徹底刪除檔案

2015-10-08
如果罪犯在犯行即將曝光之前,就將所有的檔案徹底刪除並且完全無法救回,那鑑識人員該如何與其鬥法?這時候Windows內建的系統保護機制Volume Shadow Copy就可以幫上忙,以下就娓娓道來整個鑑識的詳細過程。
話說某日軍方接獲友國情報組識所提供的線報,懷疑服役於軍備局的軍官K少校藉其職務之便與軍火商交好,從事軍火掮客的工作,並從中牟利收取回扣。檢察官指揮憲調組至軍備局進行搜查,一無所獲,未在其公務用電腦中發現任何可疑跡證。

同一時間,幹員也同步至K少校住處進行搜索,發現K少校正神色慌張地在電腦前操作,幹員即刻帶離K少校以防證物遭到進一步破壞。

由第一線處理人員展開消逝性與非消逝性資料的取證工作,並將證物映像檔火速送至刑鑑中心進行分析。

檢察官要求取證分析人員調查證物之中,是否存在K少校竊取軍備局機密,或是從事軍火掮客工作等不法內容。取證分析人員在初步檢視證物映像檔內容後,發現一部分資料已遭到刪除,且部分內容甚至被徹底擦除(Wipe)。

根據前往K少校住處搜索的幹員描述,當時他們發現K少校正急急忙忙地進行資料刪除,幸好幹員迅速控制現場,才避免證物遭徹底破壞。取證分析人員經過詳細的調查分析之後,目前仍然只得到破碎不完整的跡證,尚未能掌握關鍵證據,也使得案情陷入膠著。

究其原因,K少校服役期間,曾參與各項重要資訊系統的建置工作,本身即精通電腦,成了如今的高科技罪犯,實難對付。

因此,接下來請各位讀者與筆者一同化身為調查人員與高手鬥法,設法找出證物映像檔中的蛛絲馬跡,還原真相以使犯嫌伏首認罪。

從Volume Shadow Copy著力

取證分析團隊成員進行了多次腦力激盪後,終於有了新的調查方向,那就是「Volume Shadow Copy」。

何謂「Volume Shadow Copy」,簡單來說就是Windows內建的系統保護機制,如圖1所示,若分割區的「系統保護」是開啟的,便會自動或手動建立還原點。


▲圖1 磁碟分割區的「系統保護」開啟狀態。

至於「系統保護」的定義,可參考Windows內建的說明功能,如圖2所示。


▲圖2 「系統保護」的定義可參考Windows內建的說明功能。

從中可以得知,系統安裝所在的C槽,預設即是有開啟的,那C槽以外的磁區呢?預設並未自動開啟保護,但也可以手動開啟保護。

如圖3所示,對著D槽按下滑鼠右鍵,然後選擇快速選單中的【內容】,開啟「內容」視窗後,切換至〔以前的版本〕頁籤,即可見到目前D槽有一個「還原點」,顧名思義即知若選擇回到「過去」的那個還原點,便「可能」找到D槽中如今雖不存在但當時仍「可能」存在的檔案,或是如今已遭篡改檔案內容但當時仍「可能」保有原本的檔案內容。


▲圖3 在〔以前的版本〕頁籤內可看到所存在的還原點。

一再強調「可能」的原因,是因為重點在於「時間序」,也就是說,若K少校在刪除或篡改檔案內容之前,Windows就曾建立過還原點,自然就能找到原有檔案及內容。而若在刪除或篡改檔案內容之後,還原點才建立的話,自然就未能捕捉到刪除或篡改檔案內容的「過去式」了。

「Volume Shadow Copy」的確是個不容輕忽的線索,因為它可能存留過去的跡證,但因它無法在檔案總管中直接存取檢視,也因此取證分析人員往往容易忽略掉這個重要線索。

既然有了一線希望,便迫不及待要檢視證物映像檔,解開謎團,查看究竟哪些分割區有開啟系統保護,以及目前究竟保留了幾個還原點。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!