Montando uma cópia de sombra de volume do Windows no Linux usando libvshadow

1

Encontrei recentemente alguns casos em que tenho acesso aos arquivos brutos criados pelo Serviço de Sombra de Volume no Windows, onde meu objetivo é recuperar arquivos da Cópia de Sombra que deixamos de acessar por outros significa.

Meu problema atual é com uma variante Locky da família Ransomware, em que qualquer cópia de sombra foi eliminada pelo comando vssadmin no computador infectado do Windows 7. Consegui recuperar as informações de volume do sistema via testdisk de uma instalação separada do Ubuntu e colocar os arquivos recuperados de volta na pasta System Volume Information . Em uma instância anterior, não precisei recuperar as informações de volume do sistema e ele não tinha uma infecção por ransomware, mas ainda não consegui usar libvshadow para exibir o repositório de cópias de sombra.

Pelo que entendi, o VSS mantém suas Cópias de Sombra em C:\System Volume Information\ . Cada "cópia" é armazenada como um único arquivo com um nome semelhante a GUID ( {6d947e68-7c32-11e7-8b12-1078d273ab75}{3808876b-c176-4e48-b7ae-04046e6cc752} ). No meu caso, eu tenho vários desses arquivos, cada um com um tamanho entre 600MB e 1.1GB.

A unidade está conectada via dock USB a uma instalação de desktop padrão do Ubuntu 16.04, e a partição do Windows está montada em /media/user/Windows 7 OS/ via /dev/sdc2 . Quando eu executo vshadowinfo /dev/sdc2 , me disseram que há 0 lojas.

Então a questão é: como eu acesso esses arquivos quando parece que tudo está no lugar apropriado, mas ambos os vshadowinfo no Linux e no ShadowExplorer no Windows me dizem que não há lojas disponíveis?

    
por Jesse 07.09.2017 / 17:15

0 respostas