Dobrý den, přátelé! Tak jsem se opět dostal k tužce a papíru. Přesněji do notebooku a virtuálního stroje. Dnes chci mluvit o tak naprosto zajímavém a užitečném fenoménu, jako je předchozí verze souborů nebo Stínové kopie systému Windows.

Pojďme si v praxi ukázat, jak pracovat se stínovými kopiemi.

Jak obnovit smazané soubory ze stínových kopií Windows

Zde máme pracovní plochu Windows. Jsou na něm dvě složky: screen a zip, které smažeme a obnovíme. Třetí složka je ShadowExplorer - program, se kterým budu pracovat se stínovými kopiemi. Já jsem program, vezměte si ho a používejte! Protože předchozí verze souborů (stínové kopie) používají kontrolní body obnovy, budeme muset vytvořit alespoň jeden bod. Chcete-li to provést, přejděte do vlastností systému na kartu „Ochrana systému“. Pro nás je důležité, aby nastavení ochrany mělo režim „Enabled“, v nastavení můžete také nastavit rezervované místo na disku v procentech pro tyto kontrolní body a také okamžitě vytvořit bod obnovy (tlačítko „Vytvořit“).

Klikněte na „Vytvořit“ a zadejte název kontrolního bodu:

Proces vytváření kontrolního bodu ( dále – ČT) nějakou dobu trvá.

Samozřejmě se můžete uchýlit k programům pro obnovu dat, zejména proto, že objekt byl odstraněn velmi nedávno a existuje možnost jeho obnovení. Ale co když tomu tak není? Co když programy pro obnovu dat neposkytují požadované výsledky?

Údaje z „ stínové kopie“. Spustíme program ShadowExplorer. V hlavním okně uvidíme rozevírací seznamy - v prvním - disk, na kterém jsou vytvořeny stínové kopie, ve druhém - datum vytvoření systémového snímku.

Protože máme jedinou kopii systémového snímku, jako je logický oddíl, data, která potřebujeme, se otevřou. Ve stromu adresářů rozbalte požadovaný adresář a uvidíte, že naše nyní odstraněné adresáře jsou stále tam! Klikněte pravým tlačítkem myši na požadovaný adresář a klikněte na „Exportovat“.
A nyní byl objekt obnoven! Samozřejmě to není univerzální metoda, ale přesto je docela životaschopná a užitečná.

Kde jsou uloženy stínové kopie systému Windows?

Stínové kopie systému Windows jsou uloženy v „ Informace o objemu systému“, v souborech s názvy, které vypadají jako (GUID)(GUID2), Kde (GUID)- identifikátor kopie, (GUID2)– identifikátor sekce.

Práce se stínovými kopiemi pomocí shadowcopyview

Nirsoft má vynikající nástroj, který umožňuje poměrně pohodlně pracovat se stínovými kopiemi. Název tohoto programu je ShadowCopyView. Ten také přikládám k článku, pokud chcete, můžete si aktuální verzi stáhnout z webu vývojářů - je zdarma.

Hlavní okno zobrazuje stínové kopie (nahoře) a jejich obsah níže. K dispozici je také položka kontextového menu " Kopírovat vybrané soubory do…“, který umožňuje extrahovat obsah ze stínové kopie.

Práce se stínovými kopiemi z příkazového řádku

Co ale dělat, když nemáte po ruce žádné nářadí? Žádný problém, svazek stínové kopie můžete připojit pomocí příkazového řádku a otevřít stínovou kopii jako adresář v Průzkumníku.

Nejprve musíme získat seznam stínových kopií:

Všechny stínové kopie se zobrazí v podobné podobě. Zde nás zajímá datum vytvoření a pole „Stínová kopie“. Zkopírujeme tento řádek a vytvoříme symbolický odkaz na tento adresář:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Pozornost! Lomítko na konci je povinné, pořídil jsem snímek obrazovky bez lomítka a nepodařilo se mi vstoupit do adresáře. Příkaz mklink vytvoří odkaz C:\old na adresář (klíč /D) zálohy.

Podívejme se, jak to vypadá v Průzkumníku:

To ale vůbec neznamená, že nyní máme na disku zaznamenáno 2x více informací. Tyto informace jsou označeny jako volné, ale nebudou přepsány, dokud nebude vyčerpáno volné místo přidělené během fáze nastavení zálohovací služby. Pamatujte, že jsme tam uvedli, jaké procento disku přidělit pro zálohy. Teprve po vyčerpání veškerého zbývajícího místa budou stínové kopie změněných souborů přepsány.

Přátelé! Připojte se k našemu

Předchozí článek hovořil o možnostech zálohování Windows 7 – vytváření archivů souborů a bitových kopií disků. Tento článek je věnován obnově souborů z archivu a systému z obrazu disku a také obnově předchozích verzí souborů.

Na této straně:

Obnova souborů z archivu

Ve Windows 7 můžete obnovit soubory z archivu pomocí položky Ovládací panely.

V hlavním okně položky Ovládací panely jsou tři možnosti obnovení souboru:

• Obnovte moje soubory- umožňuje vybrat jednotlivé soubory a složky pro obnovu.
• Obnovte soubory všech uživatelů- také umožňuje vybrat jednotlivé soubory a složky, ale pro všechny uživatele počítače.
• Chcete-li obnovit soubory, vyberte jinou zálohu- umožňuje obnovit soubory všech uživatelů a také vybrat archiv umístěný na síťovém disku.

Níže diskutujeme o obnově „mých“ souborů. První okno File Recovery Wizard je plné možností, takže pojďme pěkně popořadě.

Výběr data archivace. Standardně se používá nejnovější archiv, který systém hlásí v okně. Můžete zvolit dřívější datum – například pokud potřebujete starší kopii souboru.

Rozhraní se zdá být navrženo pro velmi častou archivaci - standardně se zobrazují archivy za poslední týden (podle mého názoru je rozumnější rovnou zobrazovat archivy za měsíc), ale můžete si vybrat samozřejmě i starší.

Hledat soubory. Jedná se o velmi pohodlný nástroj, který vám umožní okamžitě najít soubory, které potřebujete v archivu.

Upozorňujeme, že okno používá rozhraní průzkumníka, tj. ve výsledcích vyhledávání můžete vybrat požadované sloupce vlastností souboru a seřadit podle nich (neexistuje však žádné seskupování).

Přidávání souborů a složek. Spolu s vyhledáváním je možné přidávat jednotlivé soubory a složky – každá akce má své tlačítko.

Seznam obnovitelných souborů. Zobrazí se názvy přidaných složek a jednotlivých souborů.

Odebrání souborů a složek ze seznamu. Soubory a složky jsou odstraněny pouze ze seznamu obnovitelných souborů, ale nikoli z archivu.

Pokračujte výběrem cíle pro obnovené soubory. Soubory můžete obnovit:

• na původní místo. V tomto případě, pokud existuje soubor se stejným názvem, systém zobrazí standardní dialog s výzvou k přepsání souboru, uložení obou kopií do složky nebo odmítnutí kopírování.
• na vámi zadané místo. V tomto případě je možné obnovit soubory při zachování struktury složek, počínaje kořenem archivu (zvýrazněným na obrázku).

Po rozhodnutí o konečném umístění souborů, které mají být obnoveny, klikněte na tlačítko Obnovit.

Obnovení předchozích verzí souborů a složek

Představte si, že jste při práci s dokumentem smazali jeho část, uložili soubor a zavřeli aplikaci. A pak si najednou vzpomněli, že smazali něco velmi důležitého. Nebo si představte, že jste smazali soubor za košem a o měsíc později jste ho opravdu potřebovali. V obou případech máte dobrou šanci obnovit předchozí verze souborů, které lze uložit v systému Windows 7, dvěma způsoby:

• archivy souborů vytvořené pomocí programu Windows Backup
• stínové kopie vytvořené ochranou systému pomocí služby Stínová kopie svazku

Obnovení předchozích verzí je dostupné z vlastností souboru nebo složky na kartě Předchozí verze.

Obnovení předchozích verzí souborů z archivů

Pokud je soubor zahrnut do archivu pomocí nástrojů zálohování Windows, v jeho vlastnostech na záložce Předchozí verze Archivace.

Pokud systém při obnově souboru zjistí, že soubor se stejným názvem již existuje, budete vyzváni k přepsání stávajícího souboru, jeho uložení pod jiným názvem nebo odmítnutí obnovení.

Stejný soubor lze samozřejmě obnovit z ovládacího panelu, ale provést to z vlastností souboru může být pohodlnější a rychlejší.

Obnovení předchozích verzí souborů a složek ze stínových kopií

Aby bylo možné obnovit soubory a složky ze stínových kopií, musí fungovat ochrana systému, která je zapnutá pro každý disk zvlášť. Možná to není příliš zřejmé, ale nastavení ochrany systému řídí provoz a množství místa na disku pro službu Stínová kopie svazku, která poskytuje úložiště pro body obnovení systému a stínové kopie souborů a složek.

Stínové kopie nejsou uloženy na dobu neurčitou. Je jim přiděleno určité procento místa na disku a po dosažení zadaného limitu jsou staré kopie nahrazeny novými. Protože se mluví o ochraně a obnově systému, zde budu uvažovat pouze o obnovení předchozích verzí.

Ze stínových kopií můžete obnovit předchozí verze:

• samostatné soubory
• složky souborů

Obnovení jednotlivého souboru ze stínové kopie je téměř stejné jako obnovení souboru z archivu. Na kartě Vlastnosti souboru Předchozí verze zobrazí se seznam verzí a bude uvedeno umístění Bod obnovení.

Na rozdíl od souboru uloženého v archivu budete mít v tomto případě možnosti otevřít a zkopírovat soubor do složky podle vašeho výběru.

Kromě jednotlivých souborů můžete obnovit složky ze stínových kopií. Seznam verzí najdete ve vlastnostech složky na kartě Předchozí verze.

Složku můžete otevřít, zkopírovat do jiného umístění nebo obnovit do starého umístění. Při obnově, stejně jako v případě souborů z archivů, vás systém upozorní, pokud se ve složce nachází soubor se stejným názvem.

Obnova smazaných souborů ze stínových kopií

Pokud potřebujete obnovit předchozí kopii existujícího souboru, přejděte na kartu ve vlastnostech souboru Předchozí verze. Co dělat, když je soubor smazán? Máte dva způsoby:

• obnovení složky
• vyhledávání souborů

Ze stínové kopie můžete obnovit složku, ve které byl soubor umístěn, jak je popsáno výše. Pokud si nepamatujete přesné umístění souboru, ale máte přibližnou představu o tom, kde ve stromu složek byl, můžete obnovit nadřazenou složku.

Před obnovením složky se však můžete pokusit najít odstraněný soubor pomocí Windows Search. Podívejme se na posloupnost akcí na příkladu. Smazal jsem soubor support_center01.png, a teď to potřebuji. Vím, ve které složce to bylo, a hledám v ní soubor (a pokud bych neznal přesné umístění, hledal bych v nejbližší nadřazené).

Stínové kopie nejsou indexovány a smazaný soubor je okamžitě vyloučen z indexu, takže jej vyhledávání nenajde. Proto je potřeba hledat v neindexovaných místech kliknutím Počítač. Vyhledávání neindexovaných souborů trvá déle, ale vaše trpělivost bude odměněna.

Ve stínových kopiích jsem našel nejen soubor PNG, který jsem potřeboval, ale také dávno smazaný soubor BMP se stejným názvem, na který jsem zapomněl.

Proč stínové kopie mohou chybět

Po přečtení předchozích verzí souborů možná budete chtít zkontrolovat, zda se ve vašem systému nevytvářejí. Pokud jste nenašli žádné předchozí verze, mohlo by to znamenat, že:

• ochrana systému je vypnutá, tzn. neexistují žádné body obnovení, kde by byly uloženy předchozí verze systémových souborů
• K ochraně systému je přiděleno málo místa na disku, takže není dostatek místa pro stínové kopie uživatelských souborů
• obsah souboru nebo složky se nezměnil - v tomto případě se nevytvářejí stínové kopie

Abych shrnul příběh o obnově souborů, chci zdůraznit, že technologie Windows jsou propojeny. Největší šanci na obnovení souborů budete mít, pokud spolu s ochranou systému použijete Zálohování systému Windows. Tyto šance můžete zvýšit vytvořením záložních bitových kopií systému, o jejichž obnově bude pojednáno níže.

Obnovení systému z dříve vytvořeného obrazu

Během instalace Windows 7 se na vašem pevném disku automaticky vytvoří servisní oddíl obsahující Windows RE (Recovery Environment). Pomocí této sekce můžete:

• spusťte do prostředí obnovy z pevného disku
• vytvořte disk pro opravu systému a nabootujte z něj

Zavedením do prostředí pro obnovu můžete obnovit systém z předem vytvořeného obrazu.

Pozornost! Podrobný popis vytvoření disku pro opravu systému, prostředí pro obnovu a možnosti spouštění do něj naleznete v článku Použití prostředí Windows RE Recovery Environment ve Windows 7. Níže pojednáváme pouze o spouštění systému Windows RE z pevného disku.

Bootování do Recovery Environment z pevného disku

Pro vstup do menu Další možnosti stahování, lis F8 po zapnutí počítače, ale před načtením operačního systému.

Vyberte první položku nabídky - Odstraňování problémů s počítačem a stiskněte Enter. Spustí se prostředí Windows Recovery Environment, kde jako první budete požádáni, abyste vybrali rozložení klávesnice.

Vyberte jazyk, ve kterém je nastaveno heslo vašeho administrátorského účtu, protože budete požádáni o jeho zadání v dalším kroku.

Po zadání hesla se vám zobrazí nabídka s možnostmi obnovení, z nichž jedna je Obnovení obrazu systému.

Obnovení bitové kopie systému z Windows RE

Windows RE poskytuje různé nástroje pro obnovu systému.

Můžete si také vybrat jiný obraz pro obnovení. Po výběru obrázku klikněte na tlačítko Dále k zahájení procesu obnovy.

Můžete formátovat disky a vytvářet diskové oddíly a máte možnost vyloučit disky z operace formátování (automaticky se vyloučí disk obsahující obraz archivu). Také můžete jednoduše obnovit bitovou kopii na existující systémový oddíl. Za tlačítkem dodatečně Skryté jsou ještě dvě možnosti.

Jakmile se rozhodnete pro možnosti obnovení, klikněte na Dále a poté v posledním okně průvodce klikněte na tlačítko Připraven. Windows 7 vás upozorní, že všechna data budou z oddílu odstraněna a zahájí se proces obnovy.

Pokud nemáte instalační disk Windows 7, nezapomeňte vytvořit disk pro opravu systému. Tento disk vám umožní obnovit obraz zálohy systému, i když je poškozen servisní oddíl Windows RE na vašem pevném disku.

Není mnoho způsobů, jak obnovit soubory zašifrované útokem ransomwaru, aniž byste za ně zaplatili výkupné. Pokud budeme mít štěstí, mohou existovat nějaké bezplatné nástroje na jejich obnovu, ale realističtější možností je obnovení souborů ze záloh. Ne každý však má záložní kopie svých souborů, i když Windows nabízí velmi užitečnou funkci známou jako Stínová kopie, což je v kostce záloha vašich souborů. Kybernetický zločinci o tom vědí již dlouhou dobu, a proto několik měsíců poté, co se útoky ransomwaru staly populárními, první věc, kterou udělají, když infikují váš počítač, je odstranění stínové kopie vašich souborů, než začnou šifrovat vaše informace.

Existuje celá řada technologií, které lze použít k zastavení útoků ransomwaru: některé jsou téměř k ničemu, například signatury nebo heuristika (to jsou první věci, které autoři malwaru kontrolují, než je vydají), jiné mohou být někdy účinnější, ale třeba i kombinace Všechny tyto techniky nezaručují, že budete chráněni před všemi takovými útoky.

Před více než 2 lety antivirová laboratoř PandaLabs použila jednoduchý, ale docela účinný přístup: pokud se nějaký proces pokusí odstranit stínové kopie, pak s největší pravděpodobností (ale ne vždy, mimochodem) máme co do činění se škodlivým programem a většinou pravděpodobně s kryptografem V současné době většina rodin ransomwaru odstraňuje stínové kopie, protože pokud to neuděláte, lidé nebudou platit výkupné, když mohou obnovit své soubory zdarma. Podívejme se, kolik infekcí bylo v naší laboratoři díky tomuto přístupu zastaveno. Je logické předpokládat, že toto číslo by mělo růst exponenciálně, protože Počet ransomwarových útoků pomocí této techniky také rychle roste. Zde je například počet útoků, které jsme pomocí našeho přístupu zablokovali za posledních 12 měsíců:

Na diagramu ale vidíme přesně opak toho, co jsme očekávali. Jak je tohle možné? Ve skutečnosti existuje velmi jednoduché vysvětlení tohoto „fenoménu“: tento přístup používáme jako „poslední možnost“, když žádné jiné bezpečnostní techniky nemohou detekovat nic podezřelého, a proto se spustí toto pravidlo, které útok ransomwaru blokuje. Tento přístup využíváme i pro interní účely, díky čemuž můžeme podrobněji analyzovat ty útoky, které byly blokovány na „posledním řádku“, a následně zlepšit všechny předchozí úrovně zabezpečení. Tento přístup také používáme k vyhodnocení toho, jak dobře nebo špatně se nám daří zastavovat ransomware: jinými slovy, čím nižší hodnoty, tím lépe fungují naše základní technologie. Jak tedy vidíte, efektivita naší práce se zvyšuje.

Původní článek.

Doufám, že vytváříte stínové kopie celého disku, nikoli na stejném disku jako systém, abyste je mohli zobrazit?

Tyto kopie obvykle nelze zobrazit jako archivované soubory, ale je jasné, že místo je obsazené.

Prostor pro ukládání stínových kopií je přidělen samostatně na pracovních svazcích a na záložním disku pro kompletní kopii systému. Použitý, přidělený a maximální prostor pro stínové kopie lze zkontrolovat spuštěním následujícího příkazu z příkazového řádku se zvýšenými oprávněními:

Seznam VSSAdmin ShadowStorage

Použitý prostor - prostor aktuálně obsazený stínovými kopiemi; přiděleno - prostor vyhrazený pro stínové kopie (a nevyužitý pro jiné úkoly); maximum - horní práh, za který nemůže objem stínových kopií růst.

Přidělování prostoru pro stínové kopie je automatické, a proto jej nemůže nastavit uživatel. Nové místo je alokováno v pevných blocích, protože dříve přidělené místo je obsazeno. Z tohoto důvodu je hodnota hlášená pro použitý prostor vždy nižší než přidělený prostor.

U pracovních svazků je maximální povolený úložný prostor pro stínové kopie určen při vytvoření první stínové kopie – obvykle při prvním povolení funkce Obnovení systému a vytvoření bodu obnovení během instalace. Hodnota je nastavena na 30 % volného místa nebo 15 % celkové velikosti svazku – podle toho, která hodnota je menší. Tato maximální velikost je statická. Nemění se, když se volné místo zvětšuje nebo zmenšuje nebo když se mění velikost svazku.

Velikost však můžete upravit ručně pomocí nástroje VSSAdmin z příkazového řádku se zvýšenými oprávněními. Chcete-li například zvýšit maximální úložný prostor na jednotce C:\ na 15 GB, spustili byste následující příkaz:

VSSAdmin Resize ShadowStorage /For=C: /On=C: /MaxSize=15GB

Tato funkce se poprvé objevila na Windows Server®, kde bylo možné stínové kopie určitého svazku uchovávat na jiném svazku. V systému Windows Vista jsou stínové kopie svazku uloženy na stejném svazku. Proto musí být kopírovaný svazek a svazek, na kterém jsou kopie umístěny, stejné.

Na druhou stranu je velikost úložného prostoru stínové kopie na cílovém disku plné zálohy počítače pevně stanovena na 30 % celkového místa na disku. Tato hodnota je řízena programem pro zálohování počítače a nelze ji ručně změnit. Tento úložný prostor stínových kopií se používá k ukládání přírůstkových kopií vytvořených pomocí Úplného zálohování počítače.

Na svazku může být umístěno až 64 stínových kopií najednou, pokud je pro ně v oblasti úložiště stínových kopií dostatek místa. Po dosažení maximální kapacity se starší stínové kopie odstraní, aby se uvolnilo místo pro novější. Proto jsou staré body obnovení pro Obnovení systému odstraněny, když je dosaženo limitu úložiště pracovního svazku, a staré zálohy vytvořené pomocí CompletePC Backups jsou odstraněny, když záložní disk tohoto limitu dosáhne. Ukládání a úpravy dalších dat na zálohovacím disku může navíc narušovat normální proces stárnutí záloh a způsobovat jejich rychlejší odstraňování.

Nehledejte Boha ani v kameni, ani v chrámu – hledejte Boha v sobě. Ať hledač najde.