Shadow copy, pequeña herramienta para la lucha contra el gran mal

Shadow Copy, la ayuda oculta eternamente desconocida

Muy buenas a todos, mil perdones por la tardanza, pero el tema del curro es lo que tiene, que le limita a uno la vida ¡qué le vamos a hacer!

A lo que vamos, es obvio que todos los que me vais a leer sabéis perfectamente lo que ha pasado con “Wannacry” y todo ese rollo mesiánico que parecía que se iba a acabar el mundo y tal y cual. Veo que seguimos por aquí ¿no? A ver, que levante la manita aquel que haya tenido que formatear algún equipito esta semana…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Perfecto, yo aunque tengo algún conocimiento de malware, no soy experto en ello ni mucho menos, de modo que ni intentaré hablar sobre este tema, aparte de que creo que sería llover sobre mojado. Lo que sí puedo hacer y a ello voy es comentar el uso de una herramienta que tiene Windows que puede ayudarnos a mitigar su incidencia, en esa, nuestra amada red llena de usuarios malignos que nos odian y nos quieren estropear el día. Os voy a hablar de Shadow Copy.

¿Qué es eso? Este servicio, que Windows tiene activado por defecto desde Windows XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema o de algún archivo en concreto, es lo que normalmente conocemos como “punto de restauración del sistema” (VSS).

Este servicio crea copias ocultas (shadow copy) de cada uno de los bloques que recibe una variación y/o cambio de estado en la partición NTFS del disco duro. En principio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como, por poner un ejemplo, una modificación de cualquier archivo, por ejemplo un .docx o en el caso de la instalación y/o actualización de un programa. Se puede decir que la frecuencia de realización de estas copias sucede, al menos, con la periodicidad de las actualizaciones del sistema en Windows, para que os hagáis una idea acerca de su actividad (que es mayor de la que parece), aunque también este punto es configurable.

Si hacemos caso de lo que nos indica Microsoft:

“Applies To: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Backing up and restoring critical business data can be very complex due to the following issues:

The data usually needs to be backed up while the applications that produce the data are still running. This means that some of the data files might be open or they might be in an inconsistent state.

If the data set is large, it can be difficult to back up all of it at one time.

Correctly performing backup and restore operations requires close coordination between the backup applications, the line-of-business applications that are being backed up, and the storage management hardware and software. The Volume Shadow Copy Service (VSS), which was introduced in Windows Server® 2003, facilitates the conversation between these components to allow them to work better together. When all the components support VSS, you can use them to back up your application data without taking the applications offline.

VSS coordinates the actions that are required to create a consistent shadow copy (also known as a snapshot or a point-in-time copy) of the data that is to be backed up. The shadow copy can be used as-is, or it can be used in scenarios such as the following:

You want to back up application data and system state information, including archiving data to another hard disk drive, to tape, or to other removable media.

You are data mining.

You are performing disk-to-disk backups.

Y esta es la opción que me interesa mostrar ahora…

You need a fast recovery from data loss by restoring data to the original LUN or to an entirely new LUN that replaces an original LUN that failed.”

Ya estamos entrando en calor ¿no? Muy bien, ahora vamos con la siguiente duda que a todo buen sysadmin que se precie le vendrá inmediatamente a la cabeza: “Esto esta genial, pero ¿cuánto espacio ocupa esto en mi disco duro? Porque voy un poco escaso ya…”

La utilización del disco duro suele variar de un sistema operativo a otro, por usar un ejemplo, en windows vista (¿alguien se acuerda de Windows vista?) se reservaba entre el 15% de la capacidad y un máximo del 30% del espacio libre en el disco duro (incluso en algunos casos no había o hay mejor dicho límite alguno), sin embargo en Windows 7/8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema, asimismo es de justicia remarcar que desde windows 7, se nos permite modificar de forma muy sencilla el espacio en disco duro que ocupará el servicio de VSS. Seguro que ya respiramos ahora más tranquilos, que ya nos vamos conociendo.

¿Queréis aprender cómo trabajar con esta herramienta? Al lio…

Usaremos para ello el comando “vssadmin” desde un cmd o una powershell, ejecutando cualquiera de ellas, eso sí, como administrador, usaré una cmd en honor a @fpalenzuela que es un  nostálgico y le mola el rollo retro 😉

Ejemplo 1:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Aquí se muestran algunos ejemplos de su uso, no parece muy difícil ¿verdad?

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Esta es la lista de proveedores de instantáneas de volumen.

Ahora listaremos las copias:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

 

Podemos ver la lista de copias, fecha en que se realizaron, nombre del equuipo, podemos borrar para liberar espacio, podemos listar los volúmenes válidos para las instantáneas…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Tenemos un montón de opciones con las que jugar, eso sí, usando la sensatez y la cordura. Cuidado con lo que se hace ¿vale? Pensad antes de actuar, consejo de amigo.

Dicho esto, os voy a dar una explicación más de esta herramienta que es lo que más de uno desea averiguar, como trabajar con el espacio asignado a esta magnífica herramienta. Hay interfaces gráficas para ello, pero a nosotros no nos gustan ¿verdad que no?

Se usa el siguiente comando:

“vssadmin List ShadowStorage” para ver cuánto espacio está asignado actualmente y a que volumen:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Se auto explica ¿verdad? Vemos es espacio asignado, el espacio usado y el espacio máximo de almacenamiento. ¿Podemos modificarlo? ¡Claro que sí!

Mirad, es muy sencillo…

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Ahora lo comprobamos a ver si los cambios se han guardado, ¿os acordáis cómo? ¡Si! Muy bien con “vssadmin list shadowstorage”:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

¡Aquí se aprecia modificado!

Como podéis ver, no es muy difícil, es bastante sencillo de hecho, incluso se puede inhabilitar si queréis vivir en el riesgo. Podemos configurar incluso donde se guardan las copias, un montonazo de parámetros y opciones que os animo a investigar…

Pero bueno, ya me he vuelto a ir por las nubes, volvamos a lo nuestro, como podemos usar esta herramienta para un caso de emergencia:

Usaremos MKLINK para crear un enlace simbólico a un volumen VSC:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Ejemplo de uso:

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

La ruta C:\Users\Diego\Desktop\monta es donde se montará y \\\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\ es el volumen que quiero “montar”.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Esta es la carpeta, hacemos doble click en ella y ya estamos dentro y podemos movernos por todo ese sistema de archivos, hemos “viajado en el tiempo”.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

¡Y ya podemos trabajar! No tiene más misterio esto.

¿Queréis más? ¿Queréis una interfaz gráfica que es más molona? Sin problemas, usad esta VSC TOOLSET

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Más fácil ya no puede ser ¿verdad que no?

¡Pues sí! Para recuperar archivos puntuales, ese Word modificado y que no te gusta cómo queda después y lo quieres dejar como estaba antes, mira click derecho sobre el archivo => Propiedades => Versiones anteriores y una vez allí, eliges la que quieres y la restauras, así de sencillo.

https://aprendizdesysadmin.com/ shadow-copy-pequena-herramienta-para-la-lucha-contra-el-gran-mal

Bueno, con esta “pequeña” introducción creo que tenéis ya una más buena base para explorar y ampliar, solo me resta añadir unos puntos que considero también debéis tener en cuenta:

  1. El malware se puede esconder ahí en el sistema, lejos del control rutinario del Administrador del Sistema, ha pasado ya antes y sigue pasando, mucho cuidado con ese tema, lo Antivirus no tienen acceso a esos almacenamientos.
  2. Un insider malicioso ,un pentester o un Analista Forense  conocedor de tu trabajo podría encontrar ahí información de archivo borrados por el Administrador del Sistema o los malos, no lo olvidéis, yo lo he usado en alguna ocasión y he encontrado cosas MUY jugosas. Ahí lo dejo
  3. Desde ahí, se puede acceder a zonas protegidas del ordenador que en la máquina en vivo no podemos acceder (SAM, SISTEM…etc). Mucho cuidado tanto en el bastionado del equipo en sí como en la custodia de esos volúmenes VSC, que están guardados en otro lugar que no sea el propio equipo por aquello de la seguridad. A ver si quien no puede acceder a nuestro equipo tiene acceso al disco donde se guardan esos discos, me ha tocado en algún análisis forense y muchas veces no se tiene en cuenta. Por favor no lo olvidéis.
  4. Debéis tener en cuenta que los malos malotes también saben que esta funcionalidad existe, por tanto el ransonware o malware que se precie de estar medianamente “bien diseñado”, se lanzará a por ello de cabeza, tanto para impedir recuperar la información ahí guardada y extorsionar más a gusto, como para robar información dejando menos huellas que si accede a un archivo “normal” del sistema. ¿Vale?

Y con esto creo que por hoy ya podemos descansar. Podéis usar esta poderosa herramienta en su contexto, NO ES una herramienta de backup y no debe plantearse como tal, pero en muchas ocasiones (bien usada eso sí) os salvará el pellejo.

Un fuerte abrazo y hasta la próxima

2 opiniones en “Shadow copy, pequeña herramienta para la lucha contra el gran mal”

    1. ¡Muchas gracias por tu comentario! Seguiremos esforzándonos por ofrecer aún mejores contenidos ;-).
      Un saludo y pásate cuando quieras, esta es tu casa…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *