Volume Shadow Copy

시스템 복원은 과거의 특정 시점으로 시스템의 상태를 되돌리는 기능으로, 핵심적인 시스템 파일과 일부 설정을 백업하여 필요할 때 복원할 수 있도록 한다. 이 기능은 Windows ME 버전부터 도입되었으며, 사용자가 직접 복원 지점을 생성할 수도 있다.

 

초기에는 System Recovery Point라는 이름으로 Windows XP에서 제공되었으며, 기본적으로 주요 시스템 파일을 백업하는 방식이었다. 이후 Windows Vista부터는 **VSS(Volume Shadow Copy Service)**가 추가되면서 스냅샷(snapshot) 개념이 도입되었다. 이는 전체 데이터를 저장하는 것이 아니라, 변경된 정보만 기록하여 저장 공간을 절약하는 방식이다.

 

VSS 분석으로 아래와 같은 사항을 알 수 있다.

• 삭제된 파일을 복구하거나 삭제 흔적 검출
• 설치 또는 제거된 프로그램 목록을 확인
• 악성코드 실행, 삭제 흔적, 악의적인 드라이버 설치 흔적

아래 레지스트리 경로들에서 VSS 설정을 확인할 수 있으며 또한 백업되지 않아야 하는 파일들의 설정이 가능하다.

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VSS

•  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BackupRestore
  • FileNotToBacktup: 백업하거나 복원하지 않아야 하는 파일과 디렉터리 설정
  • FileNotToSnapshot: 스냅샷에서 삭제되어야 하는 파일
  • KeysNotToRestore: 복원되지 않아야 하는 서브키와 값

 

관리자 권한으로 cmd 창을 실행한 후 vssadmin list shadows 명령어로 현재 보유 중인 VSS가 출력된다. 출력을 통해 생성된 Shadow Copy와 생성 일시를 확인할 수 있다.

vssadmin list shadows /for=c:

 

mklink 명령어를 통해 링크 폴더를 생성한다.

여기서는 C:\vss에 링크를 생성한다.

mklink /d C:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

 

 링크 폴더 C:\vss를 통해 VSS에 접근할 수 있다.

 

ShadowCopyView 프로그램을 통해 vss 분석이 가능하다.