Windows Volume Shadow Copy Service (VSS) memungkinkan pencadangan file, bahkan file sistem yang dilindungi, dibuat saat sistem operasi sedang berjalan. Windows menggunakan VSS untuk membuat cadangan diferensial periodik dari blok data pada volume NTFS. Cadangan ini disebut salinan bayangan volume dan disimpan di folder Informasi Volume Sistem di akar volume. Menganalisis backup ini memungkinkan alat forensik untuk memberikan snapshot dari apa yang tampak seperti sistem (termasuk data pengguna) pada berbagai titik waktu, memungkinkan pemulihan file yang dihapus atau ditimpa, snapshot dari registri dan file log dari titik waktu sebelumnya, dan perbandingan tentang bagaimana file mungkin berubah dari waktu ke waktu. Pada sistem langsung, perintah vssadmin dapat digunakan untuk membuat daftar salinan bayangan volume yang tersedia.
Alat sumber terbuka juga dapat digunakan untuk mengakses data salinan bayangan volume dari drive yang dicitrakan. Salah satu proyek populer untuk tujuan ini adalah libvshadow, yang terletak di https://github.com/libyal/libvshadow. libvshadow juga termasuk dalam workstation forensik SIFT. Setelah diinstal, libvshadow menyediakan dua alat baris perintah untuk mengakses data salinan bayangan volume. vshadowinfo utilitas menunjukkan salinan bayangan volume yang ada, dan vshadowmount memungkinkan Anda memasang salinan bayangan volume tertentu untuk analisis lebih lanjut.
Jika Anda menemukan kesalahan di bawah ini:
vshadowmount: command not found
Anda dapat mencoba menginstal paket di bawah ini sesuai dengan pilihan distribusi Anda.
| Distribusi | Perintah |
|---|---|
| Debian | apt-get install libvshadow-utils |
| Ubuntu | apt-get install libvshadow-utils |
| Kali Linux | apt-get install libvshadow-utils |
| Raspbian | apt-get install libvshadow-utils |