Ahora se nos muestra un ejercicio práctico o en el que se genera un archivo de texto simple después en el panel descontrol en la opción de sistema hemos seleccionado propiedades del sistema y después protección del sistema y ahí creamos un punto de restauración, regresamos al archivo de texto simple cambiamos el texto de una contraseña que se había escrito guardamos y cerramos después damos click derecho en el archivo y decimos abrir versión es previas el sistema va a besucar en el sistema por el punto de restauración que habíamos realizado y encuentra una versión anterior de nuestro documentó. Esto ha mostrado un poco de como funcionan los puntos de restauración de Windows.
Ahora nos mostrarán como ingresar a información de VSC con EnCase y MS Windows
EnCase no da soporte a VSS de manera nativa, sin embargo podemos tener acceso a la mayoría de info de VSS por medio dl emulador de disco físico de EnCase. Existe un enscript disponible psra montar las VSC en EnCase vss examiner el cual pueden soltarme por medio de este blog.
Para identificar VSC en una ventana de comandos podemos ingresar el siguiente comando: vss admin list shadows /forms este comando desplegara la información de las VSC contenidas en el volumen en el que nos encontramos, una ves que hemos identificado las VCS seleccionamos la que nos interesa y ejecutamos el siguiente comando: mklink /d c:\vss\001 (dirección de la shadow copy que nos interesa)\ y al regresar a la carpeta vss 001 veremos un restore point montado que peroremos explorar como un volumen simple.
De ahí en adelante tratamos la información contenida en este volumen como tetaríamos a cualquier otra evidencia que tenemos ya sea con el emulador físico de disco, utilizando el enscript o MS Windows.
No hay comentarios:
Publicar un comentario