vssadmin

 

 

vssadmin(Volume Shadow Copy)이란 특정한 시각의 파일, 폴더 또는 특정한 불륨의 수동 또는 자동 복사본이나 스냅샷을 저장해둔 것을 말한다.

 

스냅샷의 두 가지 주된 목적

- 일정한 볼륨 백업본을 만들어서 백업을 하는 동안 내용이 바뀌지 않도록 보증하는 것이다.

- 파일 잠금의 문제를 피하는 것이다.

 

읽기 전용인 볼륨 복사본을 만들면서, 백업 프로그램은 다른 프로그램이 같은 파일에 쓰기를 하는 간섭 과정 없이 모든 파일에 접근할 수 있다. 또한 사용자는 스냅샷에 존재했던 파일에 접근 할  수 있으므로 이전 버전의 파일을 탐색하거나 실수로 지워진 파일을 복수할 수 있다.

 

 

---

내가 vssadmin에 대해서 공부한 이유는 TaslaCrypt 랜섬웨어에서 자식 프로세스가 "vssadmin.exe" delete shadows /all /Quiet를 했기 때문이다. 그렇다면 이것은 무엇을 의미하는 것일까 ?

 

delete /all /Quiet 즉, 볼륨 섀도우 복사본을 모두(all) 안보이게(Quiet) 지우라는 명령어다.

즉, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것이다.

여러 악성코드가 복구를 할 수 없도록 위의 기법을 많이 이용한다고 한다 !