vshadow เป็น command ที่ใช้สำหรับสร้าง/จัดการ volume shadow copies หรือก็คือคำสั่งที่ใช้สำหรับการจัดการพวก backup ของเครื่องนั่นเอง โดยเราสามารถ execute vshadow ได้ก็เมื่อเรามีสิทธิ์ของ administrator เท่านั้น

โดยตัว vshadow เองนั้นสามารถ execute command ใดๆได้เมื่อกระทำการใดๆกับ backup สำเร็จ (-exec option) โดยการใช้คำสั่งดังกล่าวจะรันได้เฉพาะไฟล์ที่เป็น .exe,.bat เท่านั้น และเมื่อรันขึ้นมาตัวโปรเซสนั้นก็จะกลายเป็น child process ของ vshadow.exe

โดยการรัน vshadow.exe นั้นจะไปปลุก Volume Shadow Service​ (VSS Service: VSSVC.exe) ขึ้นมา แล้วทำให้เกิด System log event 7036 ขึ้นมา

เราสามารถกระทำการ backup OS เพื่อไปทำ Dump password ต่อได้โดยใช้เป็น

1. Create copy of OS

2.  Copy the the AD Database from the shadow copy using the Volume name as follows

3. Extract the SYSTEM hive from the Registry

4. Let’s clean up and remove our shadow copy by specifying the shadow set ID:

5. Dump the hash with secretdump.py

Source:: Bohops.com