Hello barátok! Így ismét a ceruzához és a papírhoz jutottam. Pontosabban egy laptopra és egy virtuális gépre. Ma egy olyan abszolút érdekes és hasznos jelenségről szeretnék beszélni, mint fájlok korábbi verziói vagy Windows árnyékmásolatok.

Mutassuk meg a gyakorlatban, hogyan kell dolgozni árnyékmásolatokkal.

A törölt fájlok helyreállítása a Windows árnyékmásolatából

Itt van egy Windows asztalunk. Két mappa van rajta: képernyő és zip, amit törölni fogunk és visszaállítunk. A harmadik mappa a ShadowExplorer - a program, amellyel árnyékmásolatokkal fogok dolgozni. Én vagyok a program, fogd és használd! Tehát, mivel a fájlok korábbi verziói (árnyékmásolatok) helyreállítási ellenőrzőpontokat használnak, legalább egy pontot létre kell hoznunk. Ehhez lépjen a rendszer tulajdonságaira, a „Rendszervédelem” fülre. Számunkra fontos, hogy a védelmi beállításoknál az „Engedélyezett” mód legyen, a beállításokban a lefoglalt lemezterület százalékos arányát is beállíthatja ezekhez az ellenőrzőpontokhoz, és azonnal létrehozhat egy helyreállítási pontot (a „Létrehozás” gomb)

Kattintson a „Létrehozás” gombra, és írja be a vezérlőpont nevét:

Ellenőrzőpont létrehozási folyamat ( tovább – CT) eltart egy ideig.

Természetesen folyamodhat adat-helyreállító programokhoz, különösen azért, mert az objektumot nemrégiben törölték, és lehetőség van a visszaállítására. De mi van, ha nem ez a helyzet? Mi a teendő, ha az adathelyreállító programok nem adják meg a kívánt eredményt?

Adatok innen: " árnyékmásolatok“. Indítsuk el a ShadowExplorer programot. A fő ablakban legördülő listákat fogunk látni - az elsőben - a lemezt, amelyen az árnyékmásolatok létrejönnek, a másodikban - a rendszer pillanatképének létrehozásának dátumát.

Mivel a rendszer pillanatképének egyetlen példánya van, mint a logikai partíció, a szükséges adatok megnyílnak. A könyvtárfában bontsa ki a kívánt könyvtárat, és nézze meg, hogy a most törölt könyvtáraink még mindig ott vannak! Kattintson a jobb gombbal a kívánt könyvtárra, majd kattintson az „Exportálás” gombra.
És most az objektumot helyreállították! Természetesen ez nem univerzális módszer, de ennek ellenére életképes és hasznos.

Hol tárolják a Windows árnyékmásolatokat?

A Windows árnyékmásolatai a „ Rendszerkötet információ“, olyan nevű fájlokban, mint (GUID)(GUID2), Ahol (GUID)- másolásazonosító, (GUID2)– szakaszazonosító.

Munka árnyékmásolatokkal a shadowcopyview használatával

A Nirsoftnak van egy kiváló eszköze, amely lehetővé teszi, hogy kényelmesen dolgozzon az árnyékmásolatokkal. Ennek a programnak a neve ShadowCopyView. Mellékelem a cikkhez is, ha szeretné, letöltheti az aktuális verziót a fejlesztők webhelyéről - ingyenes.

A főablak árnyékmásolatokat jelenít meg (felül), alul pedig azok tartalmát. Van még egy helyi menü „ A kiválasztott fájlok másolása ide…“, amely lehetővé teszi a tartalom kinyerését az árnyékmásolatból.

Munka árnyékmásolatokkal a parancssorból

De mi a teendő, ha nincs kéznél semmilyen eszköz? Nem probléma, felcsatolhatja az árnyékmásolat-kötetet a parancssor segítségével, és megnyithatja az árnyékmásolatot könyvtárként az Intézőben.

Először is meg kell szereznünk az árnyékmásolatok listáját:

Az összes árnyékmásolat hasonló formában jelenik meg. Itt a létrehozás dátuma és az „Árnyékmásolat-kötet” mező érdekel. Másoljuk ki ezt a sort, és hozzunk létre egy szimbolikus hivatkozást ehhez a könyvtárhoz:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Figyelem! A perjel a végén kötelező. A képernyőképet perjel nélkül készítettem, és nem tudtam belépni a könyvtárba. Az mklink parancs létrehoz egy C:\old hivatkozást a biztonsági másolat könyvtárához (/D kulcs).

Nézzük meg, hogyan néz ki az Explorerben:

De ez egyáltalán nem jelenti azt, hogy most kétszer több információnk van a lemezen. Ez az információ szabadként van megjelölve, de nem íródik felül, amíg a biztonsági mentési szolgáltatás beállítási szakaszában lefoglalt szabad terület ki nem merül. Ne feledje, ott jeleztük, hogy a lemez hány százalékát kell lefoglalni a biztonsági mentésekhez. A megváltozott fájlok árnyékmásolatai csak az összes fennmaradó hely kimerülése után íródnak felül.

Barátok! Csatlakozz hozzánk

Az előző cikkben szó volt a Windows 7 biztonsági mentési lehetőségeiről - fájlarchívumok és lemezképek létrehozásáról. Ez a cikk a fájlok archívumból és rendszerből lemezképből, valamint a fájlok korábbi verzióinak visszaállításáról szól.

Ezen az oldalon:

Fájlok helyreállítása archívumból

Windows 7 rendszerben a Vezérlőpult elem segítségével visszaállíthatja a fájlokat az archívumból.

A Vezérlőpult elem főablakában három fájl-helyreállítási lehetőség található:

• Állítsa vissza a fájljaimat- lehetővé teszi az egyes fájlok és mappák kiválasztását a helyreállításhoz.
• Az összes felhasználó fájljainak helyreállítása- lehetővé teszi az egyes fájlok és mappák kiválasztását is, de minden számítógép-felhasználó számára.
• Válasszon másik biztonsági másolatot a fájlok visszaállításához- lehetővé teszi az összes felhasználó fájljainak visszaállítását, valamint a hálózati meghajtón található archívum kiválasztását.

Az alábbiakban a „saját” fájlok helyreállítását tárgyaljuk. A Fájl-helyreállítás varázsló első ablaka tele van lehetőségekkel, úgyhogy haladjunk sorban.

Az archiválás dátumának kiválasztása. Alapértelmezés szerint a legfrissebb archívum kerül felhasználásra, amelyet a rendszer az ablakban jelent. Választhat korábbi dátumot is – például, ha a fájl régebbi példányára van szüksége.

Úgy tűnik, hogy a felületet nagyon gyakori archiválásra tervezték - alapértelmezés szerint az utolsó hét archívumai jelennek meg (szerintem célszerűbb azonnal megjeleníteni a hónap archívumát), de természetesen választhatunk régebbieket is.

Fájlok keresése. Ez egy nagyon kényelmes eszköz, amely lehetővé teszi, hogy azonnal megtalálja a szükséges fájlokat az archívumban.

Felhívjuk figyelmét, hogy az ablak explorer felületet használ, azaz a keresési eredmények között kiválaszthatja a kívánt fájltulajdonság oszlopokat, és ezek szerint rendezheti (csoportosítás azonban nincs).

Fájlok és mappák hozzáadása. A keresés mellett lehetőség van egyedi fájlok és mappák hozzáadására is - minden művelethez saját gomb tartozik.

A helyreállítható fájlok listája. Megjelennek a hozzáadott mappák és az egyes fájlok nevei.

Fájlok és mappák eltávolítása a listáról. A fájlok és mappák csak a helyreállíthatók listájából törlődnek, az archívumból nem.

Folytassa a helyreállított fájlok célhelyének kiválasztásával. A fájlokat visszaállíthatja:

• az eredeti helyre. Ebben az esetben, ha létezik azonos nevű fájl, a rendszer megjelenít egy szabványos párbeszédpanelt, amelyben a fájl felülírására, mindkét másolat mentésére egy mappába, vagy a másolás elutasítására kéri.
• az Ön által megadott helyre. Ebben az esetben lehetőség van a fájlok visszaállítására a mappastruktúra megtartása mellett, az archívum gyökértől kezdve (az ábrán kiemelve).

Miután eldöntötte a visszaállítandó fájlok végleges helyét, kattintson a gombra visszaállítás.

Fájlok és mappák korábbi verzióinak visszaállítása

Képzelje el, hogy miközben egy dokumentummal dolgozott, törölte annak egy részét, elmentette a fájlt, és bezárta az alkalmazást. És akkor hirtelen eszébe jutott, hogy valami nagyon fontosat töröltek. Vagy képzelje el, hogy törölt egy fájlt a kukán túl, és egy hónappal később valóban szüksége volt rá. Mindkét esetben jó eséllyel visszaállíthatja a Windows 7 rendszerbe menthető fájlok korábbi verzióit kétféleképpen:

• a Windows Backup segítségével létrehozott fájlarchívumok
• a System Protection által a Volume Shadow Copy Service segítségével létrehozott árnyékmásolatok

A korábbi verziók visszaállítása a lapon található fájl vagy mappa tulajdonságaiból érhető el Előző verziók.

Fájlok korábbi verzióinak visszaállítása archívumból

Ha a fájl a Windows biztonsági mentési eszközeivel szerepel az archívumban, akkor a lap tulajdonságai között Előző verziók Archiválás.

Ha egy fájl visszaállításakor a rendszer azt észleli, hogy már létezik azonos nevű fájl, akkor a rendszer felszólítja a meglévő fájl felülírására, más néven történő mentésére vagy a helyreállítás elutasítására.

Természetesen ugyanaz a fájl visszaállítható a vezérlőpultról, de ezt a fájl tulajdonságaiból kényelmesebb és gyorsabb lehet.

Fájlok és mappák korábbi verzióinak visszaállítása árnyékmásolatokból

Ahhoz, hogy a fájlokat és mappákat árnyékmásolatokból vissza lehessen állítani, működnie kell a rendszervédelemnek, amely minden lemeznél külön be van kapcsolva. Lehet, hogy nem túl nyilvánvaló, de a rendszervédelmi beállítások szabályozzák a Volume Copy Shadow Copy szolgáltatás működését és lemezterületének mennyiségét, amely tárhelyet biztosít a rendszer-visszaállítási pontoknak, valamint a fájlok és mappák árnyékmásolatainak.

Az árnyékmásolatokat nem tároljuk korlátlan ideig. A lemezterület bizonyos százalékát lefoglalják, és a megadott korlát elérésekor a régi másolatokat újakra cserélik. Mivel rendszervédelemről és helyreállításról van szó, itt csak a korábbi verziók visszaállítását veszem figyelembe.

Az árnyékmásolatokból visszaállíthatja a korábbi verziókat:

• külön fájlokat
• fájlmappák

Egy egyedi fájl visszaállítása árnyékmásolatból szinte ugyanaz, mint egy fájl visszaállítása archívumból. A fájl tulajdonságai lapon Előző verziók megjelenik a verziók listája, és megjelenik a hely is Visszaállítási pont.

Ellentétben az archívumban mentett fájlokkal, ebben az esetben lehetősége van megnyitni és átmásolni a fájlt egy tetszőleges mappába.

Az egyes fájlok mellett árnyékmásolatokból is visszaállíthat mappákat. A verziók listája a tulajdonságoknál tekinthető meg mappákat a lapon Előző verziók.

Megnyithatja a mappát, átmásolhatja egy másik helyre, vagy visszaállíthatja a régi helyre. Visszaállításkor, akárcsak az archívumból származó fájlok esetében, a rendszer figyelmezteti, ha van a mappában azonos nevű fájl.

Törölt fájlok helyreállítása árnyékmásolatokból

Ha vissza kell állítania egy meglévő fájl egy korábbi másolatát, egyszerűen lépjen a fájl tulajdonságai között a lapra Előző verziók. Mi a teendő, ha a fájl törlődik? Két módja van:

• mappa helyreállítás
• fájlkeresés

Az árnyékmásolatból a fent leírtak szerint visszaállíthatja azt a mappát, ahol a fájl volt. Ha nem emlékszik a fájl pontos helyére, de van hozzávetőleges elképzelése arról, hogy a mappafában hol volt, visszaállíthatja a szülőmappát.

A mappa visszaállítása előtt azonban megpróbálhatja megtalálni a törölt fájlt a Windows Search segítségével. Nézzük meg a műveletek sorrendjét egy példa segítségével. töröltem a fájlt support_center01.png, és most szükségem van rá. Tudom, hogy melyik mappában volt, és megkeresem benne a fájlt (és ha nem tudnám a pontos helyét, akkor a legközelebbi szülőben keresem).

Az árnyékmásolatok nincsenek indexelve, és a törölt fájl azonnal kikerül az indexből, így a keresés nem találja meg. Ezért kattintással kell keresni a nem indexelt helyeken Számítógép. A nem indexelt fájlok keresése tovább tart, de türelmének meg lesz jutalma.

Az árnyékmásolatokban nem csak a szükséges PNG fájlt találtam, hanem egy rég törölt, azonos nevű BMP fájlt is, amiről már meg is feledkeztem.

Miért hiányozhatnak az árnyékmásolatok?

Miután elolvasta a fájlok korábbi verzióit, érdemes ellenőrizni, hogy készülnek-e a rendszeren. Ha nem talált korábbi verziókat, az a következőket jelentheti:

• rendszervédelem le van tiltva, pl. nincsenek visszaállítási pontok, ahol a rendszerfájlok korábbi verziói tárolódnak
• Kevés lemezterület van lefoglalva a rendszer védelmére, így nincs elég hely a felhasználói fájlok árnyékmásolatainak
• a fájl vagy mappa tartalma nem változott – ebben az esetben nem jön létre árnyékmásolat

A fájl-helyreállítás történetének összefoglalásához szeretném hangsúlyozni, hogy a Windows-technológiák összekapcsolódnak. A fájlok helyreállítására akkor van a legnagyobb esélye, ha a Windows biztonsági mentést a rendszervédelemmel együtt használja. Ezeket az esélyeket növelheti biztonsági mentési rendszerképek létrehozásával, amelyek visszaállításáról az alábbiakban lesz szó.

A rendszer visszaállítása egy korábban létrehozott képből

A Windows 7 telepítése során a merevlemezen automatikusan létrejön egy szervizpartíció, amely tartalmazza a Windows RE-t (helyreállítási környezet). Ennek a szakasznak a használatával:

• indítsa el a helyreállítási környezetet a merevlemezről
• hozzon létre egy rendszerjavító lemezt, és indítsa el azt

A helyreállítási környezetbe való rendszerindítással visszaállíthatja a rendszert egy előre létrehozott lemezképből.

Figyelem! A rendszerjavító lemez létrehozásának, a helyreállítási környezetnek és a rendszerindítási lehetőségeknek részletes leírását a Windows RE helyreállítási környezet használata Windows 7 rendszerben című cikkben találja. Az alábbiakban csak a merevlemezről történő Windows RE rendszerindítást tárgyaljuk.

Indítás merevlemezről helyreállítási környezetbe

A menübe való belépéshez További letöltési lehetőségek, nyomja meg F8 a számítógép bekapcsolása után, de az operációs rendszer betöltése előtt.

Válassza ki az első menüpontot - A számítógép hibaelhárításaés nyomja meg az Entert. Elindul a Windows helyreállítási környezet, ahol az első dolog, amit a rendszer felkér, hogy válassza ki a billentyűzetkiosztást.

Válassza ki azt a nyelvet, amelyen a rendszergazdai fiók jelszava be van állítva, mivel a következő lépésben meg kell adnia azt.

A jelszó megadása után megjelenik egy menü helyreállítási lehetőségekkel, amelyek közül az egyik Rendszerkép visszaállítása.

Rendszerkép visszaállítása a Windows RE-ből

A Windows RE különféle rendszer-helyreállítási eszközöket kínál.

Választhat másik helyreállítási képet is. A kép kiválasztása után kattintson a gombra További a helyreállítási folyamat megkezdéséhez.

Lehetőség van lemezek formázására és partíciók létrehozására, valamint lehetőség van lemezeket kizárni a formázási műveletből (az archív képet tartalmazó lemez automatikusan kizárásra kerül). Ezenkívül egyszerűen visszaállíthatja a képet egy meglévő rendszerpartícióra. A gomb mögött Továbbá Még két lehetőség van elrejtve.

Miután eldöntötte a helyreállítási lehetőségeket, kattintson a gombra További, majd a varázsló utolsó ablakában kattintson a gombra Kész. A Windows 7 figyelmezteti, hogy minden adat törlődik a partícióról, és megkezdődik a helyreállítási folyamat.

Ha nem rendelkezik Windows 7 telepítőlemezzel, mindenképpen hozzon létre egy rendszerjavító lemezt. Ez a lemez lehetővé teszi a rendszer biztonsági másolatának visszaállítását még akkor is, ha a merevlemez Windows RE szolgáltatási partíciója sérült.

Nem sok módja van a zsarolóvírus-támadás által titkosított fájlok visszaállításának anélkül, hogy váltságdíjat kellene fizetni értük. Ha szerencsénk van, lehet, hogy van néhány ingyenes eszköz a helyreállításukra, de reálisabb lehetőség a fájlok visszaállítása a biztonsági másolatokból. Azonban nem mindenkinek van biztonsági másolata a fájljairól, bár a Windows kínál egy nagyon hasznos funkciót, amely Shadow Copy néven ismert, ami dióhéjban a fájlok biztonsági másolata. A kiberbűnözők már régóta tudnak róla, ezért néhány hónappal azután, hogy a ransomware támadások népszerűvé váltak, az első dolguk, amikor megfertőzik a számítógépét, az az, hogy törlik a fájlok árnyékmásolatát, mielőtt elkezdenék az adatok titkosítását.

Számos technológia használható a ransomware támadások megállítására: egyesek szinte haszontalanok, például aláírások vagy heurisztika (ezek az első dolgok, amelyeket a rosszindulatú programok szerzői ellenőriznek, mielőtt kiadnák őket), mások néha hatékonyabbak lehetnek, de akár kombináció is Mindezek a technikák nem garantálják, hogy védve lesz minden ilyen támadástól.

Több mint 2 évvel ezelőtt a PandaLabs víruskereső laboratórium egy egyszerű, de meglehetősen hatékony megközelítést alkalmazott: ha valamilyen folyamat megpróbálja törölni az árnyékmásolatokat, akkor nagy valószínűséggel (de mellesleg nem mindig) egy rosszindulatú programmal van dolgunk, és a legtöbb valószínűleg kriptográfussal Manapság a legtöbb ransomware család eltávolítja az árnyékmásolatokat, mert ha nem, akkor az emberek nem fizetik a váltságdíjat, amikor ingyenesen visszaszerezhetik fájljaikat. Nézzük meg, hány fertőzést sikerült megállítani laboratóriumunkban ennek a megközelítésnek köszönhetően. Logikus feltételezés, hogy ennek a számnak exponenciálisan kell növekednie, mert Az ezzel a technikával végrehajtott ransomware támadások száma is gyorsan növekszik. Például itt van azoknak a támadásoknak a száma, amelyeket blokkoltunk az elmúlt 12 hónapban a mi megközelítésünkkel:

De a diagramon pontosan az ellenkezőjét látjuk annak, amit vártunk. Hogyan lehetséges ez? Valójában ennek a „jelenségnek” nagyon egyszerű magyarázata van: ezt a megközelítést „utolsó megoldásként” használjuk, amikor semmilyen más biztonsági technika nem tud gyanúsat észlelni, és ezért ez a szabály lép életbe, amely blokkolja a ransomware támadást. Belső célokra is alkalmazzuk ezt a megközelítést, melynek eredményeként az „utolsó sorban” blokkolt támadásokat részletesebben elemezhetjük, majd javíthatjuk az összes korábbi biztonsági szintet. Ezt a megközelítést alkalmazzuk annak értékelésére is, hogy mennyire jól vagy rosszul gátoljuk meg a zsarolóvírusokat: más szóval minél alacsonyabbak az értékek, annál jobban teljesítenek az alapvető technológiáink. Tehát, mint látható, munkánk hatékonysága növekszik.

Eredeti cikk.

Remélem, hogy a teljes lemezről készít árnyékmásolatot, nem ugyanazon a lemezen, mint a rendszer, hogy megtekinthesse őket?

Általában ezek a másolatok nem tekinthetők meg, mint az archivált fájlok, de egyértelmű, hogy a hely foglalt.

Az árnyékmásolatok tárolására szolgáló terület külön van lefoglalva a munkaköteten és a biztonsági mentési lemezen a rendszer teljes másolatához. Az árnyékmásolatok felhasznált, lefoglalt és maximális területe a következő parancs futtatásával ellenőrizhető egy emelt szintű parancssorból:

VSSAdmin listája ShadowStorage

Használt terület – az árnyékmásolatok által jelenleg elfoglalt terület; allokált - árnyékmásolatok számára fenntartott terület (és nem használt más feladatokra); maximum - az a felső küszöb, amelyen túl az árnyékmásolatok mennyisége nem nőhet.

Az árnyékmásolatok helykiosztása automatikus, ezért a felhasználó nem állíthatja be. Az új terület fix részekben kerül kiosztásra, amint a korábban kiosztott területet elfoglalják. Emiatt a használt területre jelentett érték mindig alacsonyabb, mint a lefoglalt terület.

Munkakötetek esetén az árnyékmásolatok maximális megengedett tárhelye az első árnyékmásolat létrehozásakor kerül meghatározásra – általában akkor, amikor először engedélyezi a rendszer-visszaállítást, és a telepítés során létrehoz egy visszaállítási pontot. Az érték a szabad terület 30%-ára vagy a teljes kötetméret 15%-ára van beállítva – amelyik kisebb. Ez a maximális méret statikus. Nem változik, ha a szabad terület növekszik vagy csökken, vagy ha a kötet mérete megváltozik.

A méretet azonban manuálisan is beállíthatja a VSSAdmin eszközzel egy emelt szintű parancssorból. Például a C:\ meghajtó maximális tárhelyének 15 GB-ra növeléséhez futtassa a következő parancsot:

VSSAdmin ShadowStorage átméretezése /For=C: /On=C: /MaxSize=15GB

Ez a funkció először a Windows Server® rendszeren jelent meg, ahol egy adott kötet árnyékmásolatai egy másik köteten tárolhatók. A Windows Vista rendszerben a kötet árnyékmásolatai ugyanazon a köteten vannak tárolva. Ezért a másolandó kötetnek és annak a kötetnek, amelyen a másolatok találhatók, azonosnak kell lenniük.

Másrészt a teljes számítógép biztonsági mentési céllemezén az árnyékmásolat-tárhely mennyisége a teljes lemezterület 30%-a. Ezt az értéket a számítógép biztonsági mentési programja szabályozza, és nem módosítható manuálisan. Ez az árnyékmásolat-tárhely a Full Computer Backup által létrehozott növekményes másolatok tárolására szolgál.

Egy köteten egyszerre akár 64 árnyékmásolat is elhelyezhető, ha van számukra elegendő hely az árnyékmásolat-tárhelyen. A maximális kapacitáskorlát elérése után a régebbi árnyékmásolatok törlésre kerülnek, hogy helyet adjanak az újabbaknak. Ezért a rendszer-visszaállítás régi visszaállítási pontjai törlődnek, amikor elérik a munkakötet tárhelykorlátját, és a CompletePC Backups által létrehozott régi biztonsági másolatok törlődnek, amikor a biztonsági mentési lemez eléri ezt a korlátot. Ezenkívül más adatok mentése és szerkesztése a biztonsági mentési lemezen megzavarhatja a biztonsági mentések normál öregedési folyamatát, és gyorsabban törlődik.

Ne keresd Istent, ne a kőben, ne a templomban - keresd Istent magadban. Hadd találja meg a kereső.