破解Windows系統還原點找回已被徹底刪除檔案

2015-10-08

Pieces0310

如果罪犯在犯行即將曝光之前，就將所有的檔案徹底刪除並且完全無法救回，那鑑識人員該如何與其鬥法？這時候Windows內建的系統保護機制Volume Shadow Copy就可以幫上忙，以下就娓娓道來整個鑑識的詳細過程。

首先鎖定C槽進行分析，它的起始Sector為206,848，一個Sector為512 bytes，因此需將此值乘上512，才是掛載證物映像檔時所需指定的偏移量，得出的偏移量值為105,906,176。因此，可以利用vshadowinfo指令搭配偏移量值來檢視C槽中的Volume Shadow Copy相關資訊，如圖17所示，完整指令為「sudo vshadowinfo -o 105906176 rick.dd | more」。

▲圖17 執行vshadowinfo指令。

執行結果則如圖18所示，共有8個Volume Shadow Copy存在於C槽之中。包括建立時間、Shadow copy set ID等屬性值，此項發現令分析人員興奮不已，因為當中必定包含許多重要的線索。

▲圖18 由vshadowinfo查得相關資訊。

在掛載之前，須先為其建立掛載點「/mnt/vss」，如圖19所示執行「sudo mkdir /mnt/vss」指令。

▲圖19 建立掛載點。

接著，便可以vshadownmount指令掛載C槽下的所有Volume Shadow Copy，如圖20所示。

▲ 圖20 以指令vshadownmount掛載C槽下所有的Volume Shadow Copy。

執行指令「ls -alh /mnt/vss」後便可得知已順利掛載8個Volume Shadow Copy，由vss1至vss8（圖21）。

▲圖21 檢視後發現其內共有8個Volume Shadow Copy。

但尚須再以mount指令進行vss1至vss8的逐一掛載，方能順利檢視其內容，因此分析人員先由vss8開始進行掛載，先為vss8建立一個專屬掛載點「/mnt/c-vss-8」（圖22），再以mount指令掛載vss8至方才所建立的掛載點「/mnt/c-vss-8」（圖23），接下來便可直接進入到掛載點中查看。

▲圖22 為vss8建立一個專屬掛載點。

▲圖23 掛載vss8。

然後，如圖24所示透過「ls -alh」指令查看「/mnt-c-vss-8」，可以看到裡頭包含的資料夾與檔案，再逐一往下查看，發現裡頭有一個可疑的資料夾workload，如圖25所示。

▲圖24 查看vss8內資料夾與檔案。

▲圖25 發現vss8內有一個可疑資料夾workload。

此名為「workload」的資料夾在扣得證物主機當下，未發現其存在於C槽內，研判「workload」資料夾在調查幹員抵達K少校住處前已遭刪除。幸而在vss8中現形，表示「workload」資料夾在此還原點的建立時間前的確存在於C槽。分析人員發現其內有可疑程式與數據庫檔案，便以xmount指令產生快照後，開啟該證物映像檔虛擬機進行動態分析。

將在vss8中所發現的「workload」資料夾複製到C槽下，運行可疑程式，執行結果如圖26?圖27所示，此為K少校所自行開發的一套資料庫管理系統「Work Load Reporting System」，記錄內容確為K少校擔任軍火掮客而收取回扣的相關交易紀錄，包括案件編號、聯繫人、軍火項目、交易日期等等相關資訊。

▲圖26 Workload程式執行結果1。

▲圖27 Workload程式執行結果2。

找出關鍵檔案作為呈堂證供

也許有人會感到好奇問道：「那在D槽的Volume Shadow Copy中有何發現呢？」當然有，在D槽中有個名為「lion系統效能評估報告.xlsx」的檔案，經分析人員抽絲剝繭，比對D槽所有Volume Shadow Copy中的相關檔案，發現該評估報告檔案的內容有造假的嫌疑，該檔案確實可在Volume Shadow Copy中找到，而且內容顯示效能評估結果似乎不太理想。

但存放在K少校D槽中的檔案「lion系統效能評估報告.xlsx」之評估內容似有美化數據的情形（圖28），經比對發現其內容根本是自另一套類似系統的評估報告複製而來。據此可研判，K少校假造評估報告內容以影響軍火採購案評估結果，有圖利特定廠商之嫌。