Copies Ombres de Volume (VSS)

Le Volume Shadow Copy Service (VSS), également connu sous le nom de Volume Snapshot Service, est une technologie intégrée à Microsoft Windows qui permet la création de copies de sauvegarde instantanées, ou snapshots, instantanés de fichiers ou volumes informatiques, même lorsqu’ils sont utilisés. Ses principales fonctions système sont de faciliter la fonction de restauration système Windows et la fonction « Versions précédentes », qui permet aux utilisateurs de récupérer des versions antérieures de fichiers et de dossiers.

Du point de vue du DFIR, les copies de l’ombre du volume sont un véritable trésor médico-légal. Chaque instantané est une image historique préservée du volume à un moment précis. Cela permet aux analystes de « remonter le temps » pour examiner l’état du système de fichiers avant que les preuves ne soient modifiées ou supprimées du système en ligne.

Emplacement et structure

Les instantanés VSS ne sont pas de simples copies de fichiers ; ils sont gérés au niveau du bloc. Les données de ces instantanés sont stockées dans un dossier système protégé et caché à la racine du volume.

  • Emplacement: C:\System Volume Information

Lorsqu’un instantané est créé (soit automatiquement par le système avant une installation, selon un calendrier, ou manuellement par un utilisateur), VSS fige essentiellement l’état du volume. Au fur et à mesure que les fichiers sont modifiés sur le système en ligne, VSS utilise un mécanisme de « copie-on-write » : avant qu’un bloc disque ne soit écrasé par de nouvelles données, les données originales de ce bloc sont copiées dans la zone de stockage VSS. Cela garantit que l’instantané reste une représentation cohérente et précise du volume au moment de sa prise.

Données stockées et accès médico-légal

Un instantané VSS contient une version historique de l’ensemble du volume, incluant :

  • Fichiers et annuaires : Les fichiers qui existaient au moment de la prise d’instantané mais qui ont depuis été supprimés du système de fichiers en ligne peuvent encore être entièrement intacts et récupérables à partir d’une ancienne copie fantôme.

  • Métadonnées NTFS : Anciennes versions de fichiers de métadonnées NTFS critiques, y compris les , , et .$MFT $UsnJrnl $LogFile

  • Ruches du registre : Les instantanés contiennent des copies de toutes les ruches du registre (, , , , etc.) telles qu’elles existaient à ce moment-là.SYSTEM SOFTWARE SAM NTUSER.DAT

  • Journaux d’événements : Les fichiers historiques peuvent être extraits et analysés..evtx

  • Autres artefacts médico-légaux : Tout artefact basé sur un fichier, tel que les fichiers de prélecture, les bases de données navigateur ou Amcache, peut être récupéré à partir d’une copie fantôme.

L’accès au VSS nécessite des outils spécialisés. La commande intégrée peut énumérer les instantanés existants. Des outils GUI comme ShadowExplorer offrent une interface conviviale pour parcourir le contenu d’un instantané comme s’il s’agissait d’un disque classique. Les outils de ligne de commande médico-légale avancés, comme beaucoup dans la suite Eric Zimmerman (, , , etc.), incluent souvent un commutateur qui traite automatiquement toutes les copies fantômes disponibles, intégrant directement les données historiques dans leur analyse.vssadmin list shadows MFTECmd RECmd PECmd --vss

Valeur médico-légale

L’analyse VSS est essentielle pour découvrir des preuves ayant été soumises à des techniques anti-médico-légales sur le système en direct.

  • Récupération de preuves supprimées : C’est l’une des méthodes les plus puissantes pour récupérer des fichiers supprimés, scripts, journaux ou exécutables de triche. Si un fichier a été supprimé après la création du dernier instantané, il existera probablement encore dans ce snapshot.

  • Détection de la falsification et du nettoyage : En comparant un artefact issu d’une copie fantôme avec sa version sur le système en direct, un analyste peut prouver de manière définitive la falsification. Par exemple, si la ruche active a ses clés UserAssist effacées, mais qu’à partir d’un instantané pris deux heures plus tôt, elles sont entièrement remplies, c’est une preuve concluante d’un nettoyage du registre.NTUSER.DAT NTUSER.DAT

  • Prolongation de la chronologie : Le VSS permet à une enquête de dépasser les données disponibles sur le système en direct. Les fichiers plus anciens peuvent fournir un historique beaucoup plus long de l’activité du système de fichiers.$MFT$UsnJrnl

  • Contourner les verrous du système en ligne : Les fichiers verrouillés par le système d’exploitation (comme les ruches de registre) peuvent souvent être copiés et analysés librement à partir d’une copie fantôme montée.

L’efficacité de VSS dépend de son activation sur le volume (ce qui est généralement le cas pour le disque système par défaut) et de la fréquence et de la conservation des instantanés, que Windows gère automatiquement.

Points de réflexion (Concours SS)

Pour un ScreenSharer, le VSS est l’outil ultime pour contrecarrer la validation des preuves. C’est le bouton « annuler » pour les actions anti-médico-légales d’un tricheur.

  • La machine à voyager dans le temps : VSS permet à un SSer de voir le système du joueur tel qu’il était avant qu’il ne tente de cacher quoi que ce soit. Si un joueur supprime tout son dossier de prélecture juste avant le SS, un instantané d’il y a une heure contiendra probablement tous les fichiers compromettants..pf

  • Preuve concluante de compensation : Comparer un artefact en direct à sa version VSS est indéniable. Trouver une clé BAM effacée sur le système en ligne mais une clé remplie dans un instantané VSS est un scénario « cas clos » pour falsification de preuves.

  • Récupérer la triche supprimée : C’est un cas d’usage principal. Si un joueur supprime son triche par shift-delete, et qu’un VSS récent est disponible, le SSer peut simplement parcourir l’instantané, naviguer jusqu’à l’emplacement original du tricheur, et récupérer le fichier exécutable lui-même.

  • Un chèque simple et de grande valeur : Bien que l’analyse VSS approfondie soit complexe, une vérification rapide avec un outil comme ShadowExplorer est simple. Découvrir qu’un joueur a supprimé manuellement tous ses points de restauration système () juste avant le SS est, en soi, un acte extrêmement suspect de destruction de preuves potentielles.vssadmin delete shadows /all

PrécédentBac de recyclage ($Recycle.bin)SuivantAttributs de l’index ($INDX / $i 30)

Mis à jour