Здравейте приятели! И така отново стигнах до молив и хартия. По-точно към лаптоп и виртуална машина. Днес искам да говоря за такъв абсолютно интересен и полезен феномен като предишни версии на файловеили Сенчести копия на Windows.

Нека демонстрираме на практика как се работи със скритите копия.

Как да възстановите изтрити файлове от сенчести копия на Windows

Тук имаме работен плот на Windows. На него има две папки: screen и zip, които ще изтрием и възстановим. Третата папка е ShadowExplorer - програмата, с която ще работя със shadow копия. Аз съм програмата, вземете я и я използвайте! Така че, тъй като предишните версии на файлове (копия в сянка) използват контролни точки за възстановяване, ще трябва да създадем поне една точка. За да направите това, отидете в свойствата на системата, в раздела „Защита на системата“. За нас е важно настройките за защита да имат режим „Активирано“, в настройките можете също да зададете запазеното дисково пространство като процент за тези контролни точки и също така незабавно да създадете точка за възстановяване (бутонът „Създаване“)

Кликнете върху „Създаване“ и въведете името на контролната точка:

Процесът на създаване на контролна точка ( по-нататък – КТ) отнема известно време.

Разбира се, можете да прибягвате до програми за възстановяване на данни, особено след като обектът беше изтрит съвсем наскоро и има възможност да го възстановите. Но какво ще стане, ако това не е така? Ами ако програмите за възстановяване на данни не дадат желаните резултати?

Данни от „ сенчести копия“. Нека стартираме програмата ShadowExplorer. Ще видим падащи списъци в главния прозорец - в първия - дискът, на който се създават сенчести копия, във втория - датата на създаване на моментната снимка на системата.

Тъй като имаме едно копие на моментната снимка на системата, като логическия дял, данните, от които се нуждаем, ще се отворят. В дървото на директориите разгънете желаната директория и вижте, че нашите вече изтрити директории са все още там! Щракнете с десния бутон върху желаната директория и щракнете върху „Експортиране“.
И сега, обектът е реставриран! Разбира се, това не е универсален метод, но въпреки това е доста жизнеспособен и полезен.

Къде се съхраняват Windows Shadow Copies?

Сенчестите копия на Windows се съхраняват в „ Информация за системния обем“, във файлове с имена, които изглеждат като (GUID)(GUID2), Където (GUID)– идентификатор на копие, (GUID2)– идентификатор на раздел.

Работа със скрити копия с помощта на shadowcopyview

Nirsoft има отличен инструмент, който ви позволява да работите със сенчести копия доста удобно. Името на тази програма е ShadowCopyView. Също така го прикачвам към статията; ако желаете, можете да изтеглите текущата версия от уебсайта на разработчиците - тя е безплатна.

Основният прозорец показва скритите копия (в горната част) и тяхното съдържание отдолу. Има и елемент от контекстното меню „ Копиране на избраните файлове в...“, което ви позволява да извличате съдържание от скритото копие.

Работа със скрити копия от командния ред

Но какво да направите, ако нямате никакви инструменти под ръка? Няма проблем, можете да монтирате тома на скритото копие с помощта на командния ред и да отворите скритото копие като директория в Explorer.

Първо, трябва да получим списък със скритите копия:

Всички сенчести копия ще бъдат показани в подобна форма. Тук се интересуваме от датата на създаване и полето „Shadow copy volume“. Нека копираме този ред и да създадем символична връзка към тази директория:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

внимание! Наклонената черта в края е задължителна; направих екранната снимка без наклонената черта и не успях да вляза в директорията. Командата mklink създава връзка C:\old към директорията (ключ /D) на архива.

Нека видим как изглежда в Explorer:

Но това изобщо не означава, че сега имаме 2 пъти повече информация, записана на диска. Тази информация е маркирана като свободна, но няма да бъде презаписана, докато не бъде изчерпано свободното пространство, разпределено по време на фазата на настройка на услугата за архивиране. Не забравяйте, че там посочихме какъв процент от диска да разпределим за архивиране. Едва след изчерпване на цялото останало пространство скритите копия на променените файлове ще бъдат презаписани.

Приятели! Присъединете се към нашата

Предишната статия говори за възможностите за архивиране на Windows 7 - създаване на файлови архиви и дискови изображения. Тази статия е посветена на възстановяване на файлове от архив и система от дисково изображение, както и възстановяване на предишни версии на файлове.

На тази страница:

Възстановяване на файлове от архив

В Windows 7 можете да възстановите файлове от архив, като използвате елемента на контролния панел.

В главния прозорец на елемента на контролния панел има три опции за възстановяване на файлове:

• Възстановяване на моите файлове- позволява ви да изберете отделни файлове и папки за възстановяване.
• Възстановяване на файлове на всички потребители- също ви позволява да избирате отделни файлове и папки, но за всички компютърни потребители.
• Изберете друг архив за възстановяване на файлове- ви позволява да възстановите файлове на всички потребители, както и да изберете архив, разположен на мрежово устройство.

По-долу обсъждаме възстановяването на „моите“ файлове. Първият прозорец на съветника за възстановяване на файлове е пълен с опции, така че нека да вървим по ред.

Избор на дата на архивиране. По подразбиране се използва най-новият архив, който системата отчита в прозореца. Можете да изберете по-ранна дата - например, ако имате нужда от по-старо копие на файла.

Интерфейсът изглежда е предназначен за много често архивиране - по подразбиране се показват архивите за последната седмица (по мое мнение е по-разумно да се показват веднага архивите за месеца), но можете да изберете по-стари, разбира се.

Търсене на файлове. Това е много удобен инструмент, който ви позволява незабавно да намерите необходимите файлове в архива.

Моля, обърнете внимание, че прозорецът използва интерфейс на Explorer, т.е. в резултатите от търсенето можете да изберете желаните колони от свойства на файла и да сортирате по тях (но няма групиране).

Добавяне на файлове и папки. Заедно с търсенето има възможност за добавяне на отделни файлове и папки - всяко действие има свой бутон.

Списък с възстановими файлове. Показват се имената на добавените папки и отделни файлове.

Премахване на файлове и папки от списъка. Файловете и папките се изтриват само от списъка с възстановими, но не и от архива.

Продължете с избора на дестинация за възстановените файлове. Можете да възстановите файлове:

• до първоначалното местоположение. В този случай, ако съществува файл със същото име, системата ще покаже стандартен диалогов прозорец с молба да презапишете файла, да запишете двете копия в папка или да откажете копирането.
• до посоченото от вас място. В този случай е възможно да се възстановят файлове, като се запази структурата на папките, като се започне от корена на архива (маркиран на фигурата).

След като решите окончателното местоположение на файловете, които ще бъдат възстановени, щракнете върху бутона Възстанови.

Възстановяване на предишни версии на файлове и папки

Представете си, че докато работите с документ, сте изтрили част от него, запазили сте файла и сте затворили приложението. И тогава изведнъж се сетиха, че са изтрили нещо много важно. Или си представете, че сте изтрили файл след кошчето и месец по-късно наистина имате нужда от него. И в двата случая имате добър шанс да възстановите предишни версии на файлове, които могат да бъдат запазени в Windows 7 по два начина:

• файлови архиви, създадени с помощта на Windows Backup
• сенчести копия, създадени от System Protection с помощта на Volume Shadow Copy Service

Възстановяването на предишни версии е достъпно от свойствата на файла или папката в раздела Предишни версии.

Възстановяване на предишни версии на файлове от архиви

Ако файлът е включен в архива с помощта на инструменти за архивиране на Windows, в неговите свойства в раздела Предишни версии Архивиране.

Ако при възстановяване на файл системата открие, че вече съществува файл със същото име, ще бъдете подканени да презапишете съществуващия файл, да го запишете с друго име или да откажете възстановяване.

Разбира се, същият файл може да бъде възстановен от контролния панел, но това от свойствата на файла може да бъде по-удобно и по-бързо.

Възстановяване на предишни версии на файлове и папки от скрити копия

За да можете да възстановявате файлове и папки от сенчести копия, трябва да работи системна защита, която е включена за всеки диск поотделно. Може да не е твърде очевидно, но настройките за защита на системата контролират работата и количеството дисково пространство за услугата Volume Copy Shadow Copy, която осигурява съхранение за точки за възстановяване на системата и скрити копия на файлове и папки.

Сенчестите копия не се съхраняват за неопределено време. За тях се разпределя определен процент дисково пространство и при достигане на определения лимит старите копия се заменят с нови. Тъй като се говори за защита и възстановяване на системата, тук ще разгледам само възстановяването на предишни версии.

От скрити копия можете да възстановите предишни версии:

• отделни файлове
• файлови папки

Възстановяването на отделен файл от скрито копие е почти същото като възстановяването на файл от архив. В раздела със свойства на файла Предишни версиище видите списък с версии и местоположението ще бъде посочено Точка за възстановяване.

За разлика от файл, записан в архив, в този случай ще имате опции да отворите и копирате файла в папка по ваш избор.

В допълнение към отделните файлове можете да възстановите папки от скрити копия. Списъкът с версии може да се види в свойствата папкина раздела Предишни версии.

Можете да отворите папката, да я копирате на друго място или да я възстановите на старото място. При възстановяване, както при файлове от архиви, системата ще ви предупреди, ако в папката има файл със същото име.

Възстановяване на изтрити файлове от скрити копия

Ако трябва да възстановите предишно копие на съществуващ файл, просто отидете в раздела в свойствата на файла Предишни версии. Какво да направите, ако файлът бъде изтрит? Имате два начина:

• възстановяване на папка
• търсене на файлове

От скритото копие можете да възстановите папката, в която се намира файлът, както е описано по-горе. Ако не си спомняте точното местоположение на файл, но имате груба представа къде е бил в дървото на папките, можете да възстановите родителската папка.

Въпреки това, преди да възстановите папката, можете да опитате да намерите изтрития файл с помощта на Windows Search. Нека да разгледаме последователността от действия, използвайки пример. Изтрих файла support_center01.png, а сега ми трябва. Знам в коя папка беше и търся файла в нея (и ако не знаех точното местоположение, щях да потърся в най-близката родителска).

Сенчестите копия не се индексират и изтритият файл веднага се изключва от индекса, така че търсенето не го намира. Следователно трябва да търсите в неиндексирани места, като щракнете компютър.Търсенето на неиндексирани файлове отнема повече време, но търпението ви ще бъде възнаградено.

В сенчестите копия намерих не само необходимия PNG файл, но и отдавна изтрит BMP файл със същото име, за който бях забравил.

Защо скритите копия може да липсват

След като прочетете за предишни версии на файлове, може да искате да проверите дали те се създават във вашата система. Ако не сте намерили предишни версии, това може да означава, че:

• защитата на системата е деактивирана, т.е. няма точки за възстановяване, където да се съхраняват предишни версии на системни файлове
• Малко дисково пространство се разпределя за защита на системата, така че няма достатъчно място за сенчести копия на потребителски файлове
• съдържанието на файла или папката не е променено - в този случай не се създават сенчести копия

За да обобщя историята за възстановяването на файлове, искам да подчертая, че технологиите на Windows са взаимосвързани. Ще имате най-добрия шанс да възстановите вашите файлове, ако използвате Windows Backup заедно със System Protection. Можете да увеличите тези шансове, като създадете резервни системни изображения, чието възстановяване ще бъде обсъдено по-долу.

Възстановяване на системата от предварително създаден образ

По време на инсталирането на Windows 7 на вашия твърд диск автоматично се създава сервизен дял, съдържащ Windows RE (среда за възстановяване). С помощта на този раздел можете:

• зареждане в среда за възстановяване от твърд диск
• създайте диск за възстановяване на системата и стартирайте от него

Чрез зареждане в средата за възстановяване можете да възстановите системата от предварително създадено изображение.

внимание!За подробно описание на създаването на диск за възстановяване на системата, средата за възстановяване и опциите за зареждане в нея вижте статията Използване на средата за възстановяване на Windows RE в Windows 7. По-долу обсъждаме само зареждането на Windows RE от твърд диск.

Зареждане в среда за възстановяване от твърд диск

За влизане в менюто Допълнителни опции за изтегляне, Натиснете F8след включване на компютъра, но преди зареждане на операционната система.

Изберете първия елемент от менюто - Отстраняване на неизправности на вашия компютъри натиснете Enter. Средата за възстановяване на Windows ще се стартира, където първото нещо, което ще бъдете помолени да направите, е да изберете вашата клавиатурна подредба.

Изберете езика, на който е зададена паролата за вашия административен акаунт, тъй като ще бъдете помолени да я въведете в следващата стъпка.

След като въведете паролата си, ще видите меню с опции за възстановяване, една от които е Възстановяване на системен образ.

Възстановяване на системен образ от Windows RE

Windows RE предоставя различни инструменти за възстановяване на системата.

Можете също да изберете различно изображение за възстановяване. След като изберете изображение, щракнете върху бутона По-нататъкза да започнете процеса на възстановяване.

Можете да форматирате дискове и да създавате дялове, като имате възможност да изключите дискове от операцията по форматиране (дискът, съдържащ архивния образ, се изключва автоматично). Освен това можете просто да възстановите изображението в съществуващ системен дял. Зад бутона ДопълнителноИма още две скрити опции.

След като решите опциите си за възстановяване, щракнете По-нататъки след това в последния прозорец на съветника щракнете върху бутона Готов. Windows 7 ще ви предупреди, че всички данни ще бъдат изтрити от дяла и ще започне процеса на възстановяване.

Ако нямате инсталационен диск на Windows 7, не забравяйте да създадете диск за възстановяване на системата. Този диск ще ви позволи да възстановите системно архивно изображение, дори ако сервизният дял на Windows RE на вашия твърд диск е повреден.

Няма много начини за възстановяване на файлове, шифровани от ransomware атака, без да плащате откуп за тях. Ако имаме късмет, може да има някои безплатни инструменти за възстановяването им, но по-реалистичен вариант е да възстановим вашите файлове от резервните ви копия. Въпреки това, не всеки има резервни копия на своите файлове, въпреки че Windows предлага много полезна функция, известна като Shadow Copy, която накратко е резервно копие на вашите файлове. Киберпрестъпниците знаят за това от дълго време и затова, няколко месеца след като атаките с ransomware станаха популярни, първото нещо, което правят, когато заразят компютъра ви, е да изтрият скритото копие на вашите файлове, преди да започнат да криптират информацията ви.

Съществуват редица технологии, които могат да се използват за спиране на атаки на рансъмуер: някои са почти безполезни, като сигнатури или евристики (това са първите неща, които авторите на зловреден софтуер проверяват, преди да ги пуснат), други понякога могат да бъдат по-ефективни, но дори комбинацията Всички тези техники не гарантират, че ще бъдете защитени от всички подобни атаки.

Преди повече от 2 години антивирусната лаборатория PandaLabs използва прост, но доста ефективен подход: ако някой процес се опита да изтрие сенчести копия, тогава най-вероятно (но не винаги, между другото), имаме работа със злонамерена програма и повечето вероятно с криптограф В наши дни повечето фамилии на ransomware премахват скритите копия, защото ако не го направите, хората няма да платят откупа, когато могат да възстановят файловете си безплатно. Нека да видим колко инфекции бяха спрени в нашата лаборатория благодарение на този подход. Логично е да се предположи, че това число трябва да расте експоненциално, т.к Броят на атаките с ransomware, използващи тази техника, също нараства бързо. Например, ето броя на атаките, които сме блокирали през последните 12 месеца, използвайки нашия подход:

Но на диаграмата виждаме точно обратното на това, което очаквахме. Как е възможно? Всъщност има много просто обяснение за този „феномен“: ние използваме този подход като „последна мярка“, когато никакви други техники за сигурност не могат да открият нещо подозрително и следователно се задейства това правило, което блокира атаката на ransomware. Ние също използваме този подход за вътрешни цели, в резултат на което можем да анализираме по-подробно онези атаки, които са били блокирани на „последния ред“, и след това да подобрим всички предишни нива на сигурност. Ние също използваме този подход, за да оценим колко добре или зле спираме ransomware: с други думи, колкото по-ниски са стойностите, толкова по-добре се представят нашите основни технологии. Така че, както виждате, ефективността на нашата работа се увеличава.

Оригинална статия.

Надявам се, че създавате сенчести копия на целия диск, а не на същия диск като системата, за да ги видите?

Обикновено тези копия не могат да се видят, като архивирани файлове, но е ясно, че мястото е заето.

Мястото за съхранение на сенчести копия се разпределя отделно на работни томове и на резервен диск за пълно копие на системата. Използваното, разпределеното и максималното пространство за копия в сянка може да се провери чрез изпълнение на следната команда от команден ред с повишени права:

VSSAdmin списък ShadowStorage

Използвано пространство - пространството, заето в момента от скритите копия; разпределено - място, запазено за сенчести копия (и не се използва за други задачи); максимум - горният праг, над който обемът на скритите копия не може да расте.

Разпределянето на място за скритите копия е автоматично и следователно не може да се задава от потребителя. Новото пространство се разпределя на фиксирани парчета, тъй като предишното разпределено пространство е заето. Поради тази причина отчетената стойност за използвано пространство винаги е по-ниска от разпределеното пространство.

За работни томове максималното разрешено пространство за съхранение на скритите копия се определя, когато се създаде първото скрито копие – обикновено когато за първи път активирате Възстановяване на системата и създадете точка за възстановяване по време на инсталацията. Стойността е зададена на 30% от свободното пространство или 15% от общия размер на тома - което от двете е по-малко. Този максимален размер е статичен. Не се променя, когато свободното пространство се увеличава или намалява, или когато размерът на тома се променя.

Можете обаче ръчно да коригирате размера, като използвате инструмента VSSAdmin от команден ред с повишени права. Например, за да увеличите максималното пространство за съхранение на устройството C:\ до 15 GB, трябва да изпълните следната команда:

VSSAdmin Преоразмеряване на ShadowStorage /For=C: /On=C: /MaxSize=15GB

Тази функция се появи за първи път в Windows Server®, където скритите копия на определен том могат да се съхраняват на друг том. В Windows Vista скритите копия на тома се съхраняват на същия том. Следователно томът, който се копира, и томът, на който се намират копията, трябва да са еднакви.

От друга страна, количеството място за съхранение на скрито копие на целевия диск на пълно архивиране на компютъра е фиксирано на 30% от общото дисково пространство. Тази стойност се управлява от компютърната програма за архивиране и не може да се променя ръчно. Това пространство за съхранение на скрито копие се използва за съхраняване на инкрементални копия, създадени от пълно архивиране на компютъра.

До 64 скрити копия могат да се намират на том наведнъж, ако има достатъчно място за тях в зоната за съхранение на скрити копия. След като бъде достигнат лимитът на максималния капацитет, по-старите скрити копия се изтриват, за да се освободи място за по-нови. Следователно старите точки за възстановяване за System Restore се изтриват, когато се достигне ограничението за съхранение на работния обем, а старите архиви, създадени от CompletePC Backups, се изтриват, когато дискът за архивиране достигне това ограничение. В допълнение, съхраняването и редактирането на други данни на диск за архивиране може да попречи на нормалния процес на стареене на архивите, което води до по-бързото им изтриване.

Не търсете Бога, нито в камък, нито в храм - търсете Бога в себе си. Нека търсещият намери.