Tere, sõbrad! Niisiis jõudsin taas pliiatsi ja paberini. Täpsemalt sülearvutisse ja virtuaalmasinasse. Täna tahan rääkida sellisest täiesti huvitavast ja kasulikust nähtusest nagu failide varasemad versioonid või Windowsi varjukoopiad.

Näitame praktikas, kuidas töötada varikoopiatega.

Kustutatud failide taastamine Windowsi varikoopiatest

Siin on meil Windowsi töölaud. Sellel on kaks kausta: ekraan ja zip, mille kustutame ja taastame. Kolmas kaust on ShadowExplorer - programm, millega töötan varikoopiatega. Mina olen programm, võtke see ja kasutage seda! Seega, kuna failide varasemad versioonid (varikoopiad) kasutavad taastamise kontrollpunkte, peame looma vähemalt ühe punkti. Selleks minge süsteemi atribuutide vahekaardile "Süsteemi kaitse". Meie jaoks on oluline, et kaitseseadetel oleks režiim "Lubatud", seadetes saate määrata ka nende kontrollpunktide jaoks reserveeritud kettaruumi protsendina ja luua ka koheselt taastepunkti (nupp "Loo")

Klõpsake "Loo" ja sisestage kontrollpunkti nimi:

Kontrollpunkti loomise protsess ( edasi – CT) võtab veidi aega.

Muidugi võite kasutada andmete taastamise programme, eriti kuna objekt kustutati väga hiljuti ja seda on võimalik taastada. Aga kui see nii ei ole? Mis siis, kui andmete taastamise programmid ei anna soovitud tulemusi?

Andmed saidilt " varikoopiad“. Käivitame programmi ShadowExplorer. Peaaknas näeme ripploendeid - esimeses - ketast, millele varjukoopiad luuakse, teises - süsteemi hetktõmmise loomise kuupäeva.

Kuna meil on süsteemi hetktõmmise üks koopia, nagu loogiline partitsioon, avanevad vajalikud andmed. Laiendage kataloogipuus soovitud kataloogi ja vaadake, et meie nüüd kustutatud kataloogid on alles! Paremklõpsake soovitud kataloogil ja klõpsake nuppu "Ekspordi".
Ja nüüd on objekt taastatud! Muidugi pole see universaalne meetod, kuid sellegipoolest on see üsna elujõuline ja kasulik.

Kus Windowsi varjukoopiaid hoitakse?

Windowsi varikoopiad salvestatakse kausta " Süsteemi helitugevuse teave“, failides, mille nimed näevad välja nagu (GUID)(GUID2), Kus (GUID)- koopia identifikaator, (GUID2)– jaotise identifikaator.

Varikoopiatega töötamine shadowcopyview abil

Nirsoftil on suurepärane tööriist, mis võimaldab üsna mugavalt varikoopiatega töötada. Selle programmi nimi on ShadowCopyView. Lisan selle ka artiklile, kui soovite, saate praeguse versiooni alla laadida arendajate veebisaidilt - see on tasuta.

Peaaknas kuvatakse varikoopiad (ülaosas) ja nende sisu allpool. Seal on ka kontekstimenüü üksus " Kopeeri valitud failid…“, mis võimaldab teil varikoopiast sisu eraldada.

Varikoopiatega töötamine käsurealt

Aga mida teha, kui teil pole käepärast ühtegi tööriista? Pole probleemi, saate varikoopia köite ühendada käsurea abil ja avada varikoopia Exploreris kataloogina.

Kõigepealt peame hankima varikoopiate loendi:

Kõik varikoopiad kuvatakse sarnasel kujul. Siin oleme huvitatud loomise kuupäevast ja väljast "Varikoopia maht". Kopeerime selle rea ja loome selle kataloogi sümboolse lingi:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Tähelepanu! Lõpus kaldkriips on nõutav. Tegin ekraanipildi ilma kaldkriipsuta ja kataloogi ei õnnestunud siseneda. Käsk mklink loob varukoopia kataloogi (klahv /D) lingi C:\old.

Vaatame, kuidas see Exploreris välja näeb:

Kuid see ei tähenda sugugi, et meil on nüüd kettale salvestatud 2 korda rohkem teavet. See teave on märgitud vabaks, kuid seda ei kirjutata üle enne, kui varundusteenuse häälestusfaasis eraldatud vaba ruum on ammendatud. Pidage meeles, et märkisime seal, mitu protsenti ketast varundamiseks eraldada. Alles pärast seda, kui kogu ülejäänud ruum on ammendatud, kirjutatakse muudetud failide varikoopiad üle.

Sõbrad! Liituge meiega

Eelmises artiklis oli juttu Windows 7 varundusvõimalustest – failiarhiivide ja kettapiltide loomisest. See artikkel on pühendatud failide taastamisele arhiivist ja süsteemist kettapildilt, samuti failide varasemate versioonide taastamisele.

Sellel lehel:

Failide taastamine arhiivist

Operatsioonisüsteemis Windows 7 saate juhtpaneeli üksuse abil faile arhiivist taastada.

Juhtpaneeli üksuse põhiaknas on kolm faili taastamise valikut.

• Taasta minu failid- võimaldab valida taastamiseks üksikuid faile ja kaustu.
• Taasta kõigi kasutajate failid- võimaldab valida ka üksikuid faile ja kaustu, kuid kõigile arvutikasutajatele.
• Valige failide taastamiseks mõni muu varukoopia- võimaldab taastada kõigi kasutajate faile ja valida võrgukettal asuva arhiivi.

Allpool käsitleme "minu" failide taastamist. Failide taastamise viisardi esimene aken on täis valikuid, nii et läheme järjekorras.

Arhiivikuupäeva valimine. Vaikimisi kasutatakse kõige värskemat arhiivi, millest süsteem aknas teatab. Saate valida varasema kuupäeva – näiteks kui vajate faili vanemat koopiat.

Liides tundub olevat mõeldud väga sagedaseks arhiveerimiseks - vaikimisi kuvatakse viimase nädala arhiive (minu arvates on mõttekam kohe kuu arhiive kuvada), kuid valida saab muidugi ka vanemaid.

Otsige faile. See on väga mugav tööriist, mis võimaldab teil arhiivist koheselt leida vajalikud failid.

Pange tähele, et aken kasutab Exploreri liidest, st otsingutulemustes saate valida soovitud faili atribuutide veerud ja nende järgi sortida (rühmitamist siiski pole).

Failide ja kaustade lisamine. Koos otsinguga on võimalik lisada üksikuid faile ja kaustu – igal toimingul on oma nupp.

Taastatavate failide loend. Kuvatakse lisatud kaustade ja üksikute failide nimed.

Failide ja kaustade eemaldamine loendist. Failid ja kaustad kustutatakse ainult taastatavate loendist, kuid mitte arhiivist.

Jätkake taastatud failide sihtkoha valimisega. Faile saate taastada:

• algsesse asukohta. Sel juhul, kui sama nimega fail on olemas, kuvab süsteem standardse dialoogi, milles palutakse fail üle kirjutada, mõlemad koopiad kausta salvestada või kopeerimisest keelduda.
• teie määratud asukohta. Sellisel juhul on võimalik faile taastada kaustastruktuuri säilitades, alustades arhiivijuurest (joonisel esile tõstetud).

Olles otsustanud taastatavate failide lõpliku asukoha, klõpsake nuppu Taastama.

Failide ja kaustade eelmiste versioonide taastamine

Kujutage ette, et dokumendiga töötades kustutasite osa sellest, salvestasite faili ja sulgesite rakenduse. Ja siis meenus neile järsku, et nad kustutasid midagi väga olulist. Või kujutage ette, et kustutasite faili prügikastist mööda ja kuu aega hiljem vajasite seda tõesti. Mõlemal juhul on teil hea võimalus taastada Windows 7-sse salvestatavate failide varasemad versioonid kahel viisil.

• Windows Backupi abil loodud failiarhiivid
• süsteemikaitse loodud varikoopiad, kasutades teenust Volume Shadow Copy

Eelmiste versioonide taastamiseks pääsete juurde vahekaardil oleva faili või kausta atribuutide kaudu Eelmised versioonid.

Failide eelmiste versioonide taastamine arhiividest

Kui fail on Windowsi varundustööriistade abil arhiivis kaasatud, siis vahekaardil selle atribuutides Eelmised versioonid Arhiveerimine.

Kui süsteem tuvastab faili taastamisel, et sama nimega fail on juba olemas, palutakse teil olemasolev fail üle kirjutada, see teise nimega salvestada või taastamisest keelduda.

Loomulikult saab sama faili taastada juhtpaneelilt, kuid seda faili atribuutidest tehes võib olla mugavam ja kiirem.

Failide ja kaustade eelmiste versioonide taastamine varikoopiatest

Failide ja kaustade taastamiseks varikoopiatest peab töötama süsteemikaitse, mis on iga ketta jaoks eraldi sisse lülitatud. See ei pruugi olla liiga ilmne, kuid süsteemikaitse sätted juhivad teenuse Volume Copy Shadow Copy toimimist ja kettaruumi mahtu, mis pakub süsteemi taastepunktide ning failide ja kaustade varikoopiate salvestusruumi.

Varikoopiaid ei säilitata lõputult. Neile eraldatakse teatud protsent kettaruumi ja määratud limiidi saavutamisel asendatakse vanad koopiad uutega. Kuna see räägib süsteemi kaitsest ja taastamisest, kaalun siin ainult eelmiste versioonide taastamist.

Varikoopiatest saate taastada eelmised versioonid:

• eraldi failid
• failikaustad

Üksiku faili taastamine varikoopiast on peaaegu sama, mis faili taastamine arhiivist. Faili atribuutide vahekaardil Eelmised versioonid näete versioonide loendit ja asukohta näidatakse Taastamispunkt.

Erinevalt arhiivi salvestatud failist on sel juhul võimalik fail avada ja kopeerida valitud kausta.

Lisaks üksikutele failidele saate kaustu taastada ka varikoopiatest. Versioonide loendit näete omadustes kaustad vahekaardil Eelmised versioonid.

Saate avada kausta, kopeerida selle teise asukohta või taastada vanasse asukohta. Taastamisel, nagu ka arhiivifailide puhul, hoiatab süsteem teid, kui kaustas on sama nimega fail.

Kustutatud failide taastamine varikoopiatest

Kui teil on vaja taastada olemasoleva faili eelmine koopia, minge lihtsalt faili atribuutide vahekaardile Eelmised versioonid. Mida teha, kui fail kustutatakse? Teil on kaks võimalust.

• kausta taastamine
• failiotsing

Varikoopiast saate ülalkirjeldatud viisil taastada kausta, kus fail asus. Kui te ei mäleta faili täpset asukohta, kuid teil on ligikaudne ettekujutus selle kohta, kus see kaustapuus asus, saate emakausta taastada.

Enne kausta taastamist võite siiski proovida kustutatud faili Windowsi otsingu abil leida. Vaatame näite abil toimingute jada. Kustutasin faili support_center01.png, ja nüüd on mul seda vaja. Ma tean, millises kaustas see oli, ja otsin sellest faili (ja kui ma täpset asukohta ei tea, otsiksin lähimast vanemast).

Varikoopiaid ei indekseerita ja kustutatud fail arvatakse kohe registrist välja, mistõttu otsing seda ei leia. Seetõttu peate klõpsates otsima indekseerimata kohtades Arvuti. Indekseerimata failide otsimine võtab kauem aega, kuid teie kannatlikkus on tasutud.

Varikoopiatest leidsin mitte ainult vajaliku PNG-faili, vaid ka ammu kustutatud samanimelise BMP-faili, mille olin unustanud.

Miks varikoopiad võivad puududa?

Pärast failide eelmiste versioonide lugemist võiksite kontrollida, kas neid luuakse teie süsteemis. Kui te ei leidnud varasemaid versioone, võib see tähendada järgmist:

• süsteemi kaitse on keelatud, st. puuduvad taastepunktid, kuhu on salvestatud süsteemifailide eelmised versioonid
• Süsteemi kaitsmiseks on eraldatud vähe kettaruumi, nii et kasutajafailide varikoopiate jaoks pole piisavalt ruumi
• faili või kausta sisu pole muutunud – sel juhul varikoopiaid ei looda

Failide taastamise loo kokkuvõtteks tahan rõhutada, et Windowsi tehnoloogiad on omavahel seotud. Kui kasutate Windowsi varukoopiat koos süsteemikaitsega, on teil parimad võimalused failide taastamiseks. Saate neid võimalusi suurendada, luues varusüsteemi kujutised, mille taastamist käsitletakse allpool.

Süsteemi taastamine varem loodud pildilt

Windows 7 installimise ajal luuakse teie kõvakettale automaatselt teenindussektsioon, mis sisaldab Windows RE (taastekeskkonda). Seda jaotist kasutades saate:

• alglaadimine kõvakettalt taastekeskkonda
• looge süsteemiparandusketas ja käivitage sellelt

Taastekeskkonda käivitades saate süsteemi eelnevalt loodud pildilt taastada.

Tähelepanu! Süsteemi parandusketta loomise, taastekeskkonna ja sellele alglaadimisvõimaluste üksikasjalikku kirjeldust leiate artiklist Windows RE taastekeskkonna kasutamine opsüsteemis Windows 7. Allpool käsitleme ainult Windows RE käivitamist kõvakettalt.

Käivitamine kõvakettalt taastekeskkonda

Menüüsse sisenemiseks Täiendavad allalaadimisvalikud, vajutage F8 pärast arvuti sisselülitamist, kuid enne operatsioonisüsteemi laadimist.

Valige esimene menüüelement - Arvuti tõrkeotsing ja vajutage sisestusklahvi. Käivitub Windowsi taastekeskkond, kus esimene asi, mida teil palutakse teha, on valida klaviatuuripaigutus.

Valige keel, milles teie administraatorikonto parool on määratud, kuna teil palutakse see järgmises etapis sisestada.

Pärast parooli sisestamist näete menüüd taastevalikutega, millest üks on Süsteemi kujutise taastamine.

Süsteemi kujutise taastamine Windows RE-st

Windows RE pakub erinevaid süsteemi taastamise tööriistu.

Saate valida ka erineva taastekujutise. Pärast pildi valimist klõpsake nuppu Edasi taastumisprotsessi alustamiseks.

Saate vormindada kettaid ja luua partitsioone ning teil on võimalus kettad vormindamistoimingust välja jätta (arhiivipilti sisaldav ketas jäetakse automaatselt välja). Samuti saate lihtsalt taastada pildi olemasolevale süsteemisektsioonile. Nupu taga Lisaks Peidetud on veel kaks võimalust.

Kui olete taastamisvalikute üle otsustanud, klõpsake nuppu Edasi ja seejärel klõpsake viisardi viimases aknas nuppu Valmis. Windows 7 hoiatab teid, et kõik andmed kustutatakse partitsioonist ja alustab taastamisprotsessi.

Kui teil pole Windows 7 installiketast, looge kindlasti süsteemiparandusketas. See ketas võimaldab teil taastada süsteemi varukoopia kujutise isegi siis, kui teie kõvaketta Windows RE teenindussektsioon on kahjustatud.

Lunavararünnakuga krüpteeritud failide taastamiseks ilma nende eest lunaraha maksmata pole palju võimalusi. Kui meil veab, võib nende taastamiseks olla mõned tasuta tööriistad, kuid realistlikum võimalus on taastada failid varukoopiatest. Kõigil pole aga oma failidest varukoopiaid, kuigi Windows pakub väga kasulikku funktsiooni Shadow Copy, mis lühidalt on teie failide varukoopia. Küberkurjategijad on sellest juba pikka aega teadnud ja seetõttu, mõni kuu pärast lunavararünnakute populaarseks saamist, kustutavad nad teie arvutit nakatades esimese asjana teie failide varikoopiad enne teie teabe krüpteerimist.

Lunavararünnakute peatamiseks saab kasutada mitmeid tehnoloogiaid: mõned neist on peaaegu kasutud, näiteks signatuurid või heuristika (need on esimesed asjad, mida pahavara autorid kontrollivad enne nende avaldamist), teised võivad mõnikord olla tõhusamad, kuid isegi kombinatsioon Kõik need tehnikad ei garanteeri, et olete kõigi selliste rünnakute eest kaitstud.

Rohkem kui 2 aastat tagasi kasutas viirusetõrjelabor PandaLabs lihtsat, kuid üsna tõhusat lähenemist: kui mõni protsess üritab kustutada varikoopiaid, siis suure tõenäosusega (kuid mitte alati, muide) on meil tegu pahatahtliku programmiga ja enamik tõenäoliselt krüptograafiga Tänapäeval eemaldab enamik lunavaraperekondi varikoopiad, sest kui te seda ei tee, ei maksa inimesed lunaraha, kui saavad oma failid tasuta taastada. Vaatame, kui palju nakkusi meie laboris tänu sellele lähenemisele peatati. On loogiline eeldada, et see arv peaks kasvama eksponentsiaalselt, sest Kiiresti kasvab ka seda tehnikat kasutavate lunavararünnakute arv. Näiteks siin on rünnakute arv, mille oleme viimase 12 kuu jooksul oma lähenemisviisi kasutades blokeerinud.

Kuid diagrammil näeme täpselt vastupidist sellele, mida ootasime. Kuidas on see võimalik? Tegelikult on sellele “nähusele” väga lihtne seletus: me kasutame seda lähenemist “viimase abinõuna”, kui ükski teine ​​turvatehnika ei suuda midagi kahtlast tuvastada ja seetõttu rakendub see reegel, mis blokeerib lunavararünnaku. Kasutame seda lähenemist ka sisemistel eesmärkidel, mille tulemusel saame täpsemalt analüüsida neid rünnakuid, mis blokeeriti “viimasel real”, ning seejärel parandada kõiki eelnevaid turbetasemeid. Kasutame seda lähenemisviisi ka selleks, et hinnata, kui hästi või halvasti me lunavara peatame: teisisõnu, mida madalamad väärtused, seda paremini meie põhitehnoloogiad toimivad. Seega, nagu näete, meie töö efektiivsus kasvab.

Originaalartikkel.

Loodan, et loote kogu ketta varikoopiaid, mitte süsteemiga samale kettale, et neid vaadata?

Tavaliselt pole need koopiad vaadatavad, nagu arhiveeritud failid, kuid on selge, et ruum on hõivatud.

Varikoopiate salvestamiseks eraldatakse ruum eraldi töököidetel ja varukettal süsteemi täieliku koopia jaoks. Varikoopiate kasutatud, eraldatud ja maksimaalset ruumi saab kontrollida, käivitades kõrgendatud käsurealt järgmise käsu:

VSSAdmini loend ShadowStorage

Kasutatud ruum – hetkel varjukoopiate poolt hõivatud ruum; eraldatud - varikoopiate jaoks reserveeritud ruum (ja seda ei kasutata muude ülesannete jaoks); maksimum – ülemine lävi, millest üle ei saa varikoopiate maht kasvada.

Ruumi eraldamine varikoopiate jaoks on automaatne ja seetõttu ei saa kasutaja seda määrata. Uus pind eraldatakse fikseeritud osadena, kui varem eraldatud pind on hõivatud. Sel põhjusel on kasutatud ruumi väärtus alati väiksem kui eraldatud ruum.

Töömahtude puhul määratakse varikoopiate maksimaalne lubatud salvestusruum esimese varikoopia loomisel – tavaliselt siis, kui lubate esmakordselt süsteemitaaste ja loote installimise ajal taastepunkti. Väärtuseks määratakse 30% vabast ruumist või 15% kogumahu suurusest – olenevalt sellest, kumb on väiksem. See maksimaalne suurus on staatiline. See ei muutu vaba ruumi suurenemisel või vähenemisel või helitugevuse muutumisel.

Siiski saate suurust käsitsi reguleerida, kasutades kõrgendatud käsurealt tööriista VSSAdmin. Näiteks C:\ draivi maksimaalse salvestusruumi suurendamiseks 15 GB-ni käivitage järgmine käsk:

VSSAdmin ShadowStorage suuruse muutmine /For=C: /Sees=C: /MaxSize=15GB

See funktsioon ilmus esmakordselt Windows Server®-is, kus teatud köite varikoopiaid sai hoida teises köites. Windows Vistas salvestatakse köite varikoopiad samale köitele. Seetõttu peavad kopeeritav köide ja köide, millel koopiad asuvad, olema samad.

Teisest küljest on arvuti varundamise sihtkettal oleva varikoopia salvestusruumi maht fikseeritud 30% kogu kettaruumist. Seda väärtust juhib arvuti varundusprogramm ja seda ei saa käsitsi muuta. Seda varikoopiate salvestusruumi kasutatakse Full Computer Backupi abil loodud järkjärguliste koopiate salvestamiseks.

Ühel köitel võib korraga olla kuni 64 varikoopiat, kui nende jaoks on varikoopiate salvestusalal piisavalt ruumi. Kui maksimaalne mahulimiit on saavutatud, kustutatakse vanemad varikoopiad, et teha ruumi uuematele. Seetõttu kustutatakse süsteemitaaste vanad taastepunktid, kui töömahu salvestuslimiit on täis, ja CompletePC Backupsi loodud vanad varukoopiad kustutatakse, kui varukettal on see piirang. Lisaks võib muude andmete salvestamine ja redigeerimine varukettal segada varukoopiate tavapärast vananemisprotsessi, põhjustades nende kiiremat kustutamist.

Ära otsi Jumalat, ei kivist ega templist – otsi Jumalat enda seest. Las otsija leiab.