sistema operativo. Internet e tecnologia. Software. Computer
Possibilità di creare una pianificazione per le copie shadow in Windows7. Recupero di file dalle copie shadow di Windows

Possibilità di creare una pianificazione per le copie shadow in Windows7. Recupero di file dalle copie shadow di Windows

03.10.2023 Tecnologie Internet

Ciao amici! Quindi ancora una volta sono passato a carta e matita. Più precisamente, a un laptop e una macchina virtuale. Oggi voglio parlare di un fenomeno assolutamente interessante e utile come versioni precedenti dei file O Copie shadow di Windows.

Dimostriamo in pratica come lavorare con le copie shadow.

Come recuperare file cancellati dalle copie shadow di Windows

Qui abbiamo un desktop Windows. Ci sono due cartelle al suo interno: screen e zip, che elimineremo e ripristineremo. La terza cartella è ShadowExplorer, il programma con cui lavorerò con le copie shadow. Io sono il programma, prendilo e usalo! Pertanto, poiché le versioni precedenti dei file (copie shadow) utilizzano checkpoint di ripristino, sarà necessario creare almeno un punto. Per fare ciò, vai alle proprietà del sistema, alla scheda "Protezione del sistema". Per noi è importante che le impostazioni di protezione abbiano la modalità "Abilitata", nelle impostazioni puoi anche impostare lo spazio su disco riservato in percentuale per questi checkpoint e anche creare istantaneamente un punto di ripristino (il pulsante "Crea")

Fare clic su "Crea" e inserire il nome del punto di controllo:

Processo di creazione del checkpoint ( inoltre – CT) richiede del tempo.

Naturalmente, puoi ricorrere a programmi di recupero dati, soprattutto perché l'oggetto è stato cancellato di recente e c'è la possibilità di ripristinarlo. Ma cosa succede se non è così? Cosa succede se i programmi di recupero dati non danno i risultati desiderati?

Dati da " copie ombra“. Lanciamo il programma ShadowExplorer. Vedremo degli elenchi a discesa nella finestra principale: nel primo - il disco su cui vengono create le copie shadow, nel secondo - la data di creazione dell'istantanea del sistema.

Poiché disponiamo di un'unica copia dell'istantanea del sistema, come la partizione logica, i dati di cui abbiamo bisogno verranno aperti. Nell'albero delle directory, espandi la directory desiderata e vedi che le nostre directory ora cancellate sono ancora lì! Fare clic con il tasto destro sulla directory desiderata e fare clic su "Esporta".
E ora l'oggetto è stato restaurato! Naturalmente, questo non è un metodo universale, ma è comunque abbastanza praticabile e utile.

Dove vengono archiviate le copie shadow di Windows?

Le copie shadow di Windows sono archiviate nella cartella " Informazioni sul volume del sistema“, in file con nomi simili (GUID)(GUID2), Dove (GUIDA)– identificatore della copia, (GUID2)– identificatore della sezione.

Lavorare con le copie shadow utilizzando shadowcopyview

Nirsoft ha uno strumento eccellente che ti consente di lavorare con le copie shadow in modo abbastanza conveniente. Il nome di questo programma è ShadowCopyView. Lo allego anche all'articolo; se lo desideri, puoi scaricare la versione attuale dal sito degli sviluppatori: è gratuita.

La finestra principale mostra le copie shadow (in alto) e il loro contenuto in basso. C'è anche una voce del menu contestuale “ Copia i file selezionati in...“, che consente di estrarre il contenuto dalla copia shadow.

Lavorare con le copie shadow dalla riga di comando

Ma cosa fare se non hai nessuno strumento a portata di mano? Nessun problema, puoi montare il volume della copia shadow utilizzando la riga di comando e aprire la copia shadow come directory in Explorer.

Prima di tutto, dobbiamo ottenere un elenco di copie shadow:

Tutte le copie shadow verranno visualizzate in una forma simile. Qui siamo interessati alla data di creazione e al campo “Volume copia shadow”. Copiamo questa riga e creiamo un collegamento simbolico a questa directory:

> mklink /D C:\vecchio \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Attenzione! La barra alla fine è obbligatoria; ho acquisito lo screenshot senza la barra e non sono riuscito ad accedere alla directory. Il comando mklink crea un collegamento C:\old alla directory (chiave /D) della copia di backup.

Vediamo come appare in Explorer:

Ma questo non significa affatto che ora abbiamo il doppio delle informazioni registrate sul disco. Queste informazioni sono contrassegnate come libere, ma non verranno sovrascritte fino all'esaurimento dello spazio libero allocato durante la fase di configurazione del servizio di backup. Ricorda, abbiamo indicato lì quale percentuale del disco allocare per i backup. Solo dopo che tutto lo spazio rimanente sarà esaurito le copie shadow dei file modificati verranno sovrascritte.

Amici! Unisciti al nostro

L'articolo precedente parlava delle funzionalità di backup di Windows 7: creazione di archivi di file e immagini disco. Questo articolo è dedicato al ripristino dei file da un archivio e dal sistema da un'immagine del disco, nonché al ripristino delle versioni precedenti dei file.

Su questa pagina:

Recupero di file da un archivio

In Windows 7, puoi ripristinare i file da un archivio utilizzando l'elemento Pannello di controllo.

Nella finestra principale della voce Pannello di controllo sono disponibili tre opzioni di ripristino dei file:

  • Recupera i miei file- consente di selezionare singoli file e cartelle per il ripristino.
  • Recupera i file di tutti gli utenti- consente anche di selezionare singoli file e cartelle, ma per tutti gli utenti del computer.
  • Seleziona un altro backup per ripristinare i file- consente di ripristinare i file di tutti gli utenti, nonché di selezionare un archivio situato su un'unità di rete.

Di seguito discutiamo del recupero dei “miei” file. La prima finestra del File Recovery Wizard è ricca di opzioni, andiamo quindi per ordine.

Selezione della data di archiviazione. Di default viene utilizzato l'archivio più recente, che il sistema riporta nella finestra. Puoi scegliere una data precedente, ad esempio se hai bisogno di una copia precedente del file.

L'interfaccia sembra essere progettata per l'archiviazione molto frequente: per impostazione predefinita vengono visualizzati gli archivi dell'ultima settimana (a mio avviso ha più senso visualizzare immediatamente gli archivi del mese), ma ovviamente puoi selezionare quelli più vecchi.

Cerca file. Questo è uno strumento molto conveniente che ti consente di trovare immediatamente i file che ti servono nell'archivio.

Tieni presente che la finestra utilizza un'interfaccia Explorer, ovvero nei risultati della ricerca puoi selezionare le colonne delle proprietà del file desiderate e ordinarle in base a esse (tuttavia non esiste alcun raggruppamento).

Aggiunta di file e cartelle. Insieme alla ricerca è possibile aggiungere singoli file e cartelle: ogni azione ha il proprio pulsante.

Elenco dei file recuperabili. Vengono visualizzati i nomi delle cartelle aggiunte e dei singoli file.

Rimozione di file e cartelle dall'elenco. File e cartelle vengono eliminati solo dall'elenco di quelli recuperabili, ma non dall'archivio.

Procedere selezionando la destinazione per i file recuperati. Puoi recuperare i file:

  • alla posizione originale. In questo caso, se esiste un file con lo stesso nome, il sistema visualizzerà una finestra di dialogo standard che chiede di sovrascrivere il file, salvare entrambe le copie in una cartella o rifiutare la copia.
  • nella posizione specificata. In questo caso è possibile ripristinare i file mantenendo la struttura delle cartelle, partendo dalla root dell'archivio (evidenziata in figura).

Dopo aver deciso la posizione finale dei file da ripristinare, fare clic sul pulsante Ristabilire.

Ripristino di versioni precedenti di file e cartelle

Immagina che mentre lavori con un documento, ne hai eliminato una parte, salvato il file e chiuso l'applicazione. E poi all'improvviso si sono ricordati di aver cancellato qualcosa di molto importante. Oppure immagina di aver eliminato un file oltre il cestino e un mese dopo ne avevi davvero bisogno. In entrambi i casi, hai buone possibilità di ripristinare versioni precedenti di file che possono essere salvati in Windows 7 in due modi:

  • archivi di file creati utilizzando Windows Backup
  • copie shadow create da Protezione sistema utilizzando il servizio Copia Shadow del volume

È possibile accedere al ripristino delle versioni precedenti dalle proprietà del file o della cartella nella scheda Versione precedente.

Ripristino delle versioni precedenti dei file dagli archivi

Se il file è incluso nell'archivio utilizzando gli strumenti di backup di Windows, nelle sue proprietà nella scheda Versione precedente Archiviazione.

Se, durante il ripristino di un file, il sistema rileva che esiste già un file con lo stesso nome, ti verrà richiesto di sovrascrivere il file esistente, salvarlo con un nome diverso o rifiutare il ripristino.

Naturalmente, lo stesso file può essere ripristinato dal pannello di controllo, ma farlo dalle proprietà del file potrebbe essere più comodo e veloce.

Recupero di versioni precedenti di file e cartelle da copie shadow

Per poter ripristinare file e cartelle dalle copie shadow, è necessario che funzioni la protezione del sistema, che è attivata separatamente per ciascun disco. Potrebbe non essere troppo ovvio, ma le impostazioni di protezione del sistema controllano il funzionamento e la quantità di spazio su disco per il servizio Copia shadow della copia del volume, che fornisce spazio di archiviazione per punti di ripristino del sistema e copie shadow di file e cartelle.

Le copie shadow non vengono archiviate a tempo indeterminato. Viene allocata una certa percentuale di spazio su disco e, quando viene raggiunto il limite specificato, le vecchie copie vengono sostituite con quelle nuove. Poiché si parla di protezione e ripristino del sistema, qui prenderò in considerazione solo il ripristino delle versioni precedenti.

Dalle copie shadow è possibile ripristinare le versioni precedenti:

  • file separati
  • Cartelle di file

Il ripristino di un singolo file da una copia shadow è quasi identico al ripristino di un file da un archivio. Nella scheda delle proprietà del file Versione precedente vedrai un elenco di versioni e verrà indicata la posizione Punto di ripristino.

A differenza di un file salvato in un archivio, in questo caso avrai la possibilità di aprire e copiare il file in una cartella a tua scelta.

Oltre ai singoli file, è possibile ripristinare cartelle da copie shadow. L'elenco delle versioni può essere visualizzato nelle proprietà cartelle sulla scheda Versione precedente.

Puoi aprire la cartella, copiarla in un'altra posizione o ripristinarla nella vecchia posizione. Durante il ripristino, come nel caso dei file dagli archivi, il sistema ti avviserà se nella cartella è presente un file con lo stesso nome.

Recupero di file cancellati da copie shadow

Se hai bisogno di ripristinare una copia precedente di un file esistente, vai alla scheda nelle proprietà del file Versione precedente. Cosa fare se il file viene eliminato? Hai due modi:

  • ripristino della cartella
  • ricerca file

Dalla copia shadow è possibile ripristinare la cartella in cui si trovava il file, come descritto sopra. Se non ricordi la posizione esatta del file, ma hai un'idea approssimativa di dove si trovava nell'albero delle cartelle, puoi ripristinare la cartella principale.

Tuttavia, prima di ripristinare la cartella, puoi provare a trovare il file eliminato utilizzando Ricerca di Windows. Diamo un'occhiata alla sequenza di azioni utilizzando un esempio. Ho eliminato il file support_center01.png, e ora ne ho bisogno. So in quale cartella si trovava e cerco il file al suo interno (e se non conoscessi la posizione esatta, cercherei in quella genitore più vicina).

Le copie shadow non vengono indicizzate e il file eliminato viene immediatamente escluso dall'indice, quindi la ricerca non lo trova. Pertanto, è necessario cercare in luoghi non indicizzati facendo clic Computer. La ricerca di file non indicizzati richiede più tempo, ma la tua pazienza sarà premiata.

Nelle copie shadow ho trovato non solo il file PNG di cui avevo bisogno, ma anche un file BMP cancellato da tempo con lo stesso nome, di cui mi ero dimenticato.

Perché potrebbero mancare copie shadow

Dopo aver letto le versioni precedenti dei file, potresti voler verificare se vengono creati sul tuo sistema. Se non hai trovato nessuna versione precedente, potrebbe significare che:

  • la protezione del sistema è disabilitata, ad es. non esistono punti di ripristino in cui sono archiviate le versioni precedenti dei file di sistema
  • Viene allocato poco spazio su disco per proteggere il sistema, quindi non c'è spazio sufficiente per le copie shadow dei file utente
  • il contenuto del file o della cartella non è cambiato: in questo caso, le copie shadow non vengono create

Per riassumere la storia del recupero dei file, voglio sottolineare che le tecnologie Windows sono interconnesse. Avrai maggiori possibilità di recuperare i tuoi file se utilizzi Windows Backup insieme a Protezione sistema. È possibile aumentare queste possibilità creando immagini di sistema di backup, il cui ripristino verrà discusso di seguito.

Ripristino del sistema da un'immagine creata in precedenza

Durante l'installazione di Windows 7, sul disco rigido viene creata automaticamente una partizione di servizio contenente Windows RE (ambiente di ripristino). Utilizzando questa sezione potrai:

  • avviare nell'ambiente di ripristino dal disco rigido
  • creare un disco di riparazione del sistema ed eseguire l'avvio da esso

Eseguendo l'avvio nell'ambiente di ripristino, è possibile ripristinare il sistema da un'immagine precreata.

Attenzione! Per una descrizione dettagliata della creazione di un disco di ripristino del sistema, dell'ambiente di ripristino e delle opzioni per l'avvio, vedere l'articolo Utilizzo dell'ambiente di ripristino di Windows RE in Windows 7. Di seguito verrà discusso solo l'avvio in Windows RE da un disco rigido.

Avvio nell'ambiente di ripristino dal disco rigido

Per entrare nel menù Ulteriori opzioni di download, premere F8 dopo aver acceso il computer, ma prima di caricare il sistema operativo.

Seleziona la prima voce di menu - Risoluzione dei problemi del computer e premere Invio. Verrà avviato l'ambiente ripristino Windows, dove la prima cosa che ti verrà chiesto di fare è selezionare il layout della tastiera.

Seleziona la lingua in cui è impostata la password del tuo account amministrativo, poiché ti verrà chiesto di inserirla nel passaggio successivo.

Dopo aver inserito la password, vedrai un menu con le opzioni di ripristino, una delle quali è Ripristino di un'immagine di sistema.

Ripristino di un'immagine di sistema da Windows RE

Windows RE fornisce vari strumenti di ripristino del sistema.

Puoi anche scegliere un'immagine di ripristino diversa. Dopo aver selezionato un'immagine, fare clic sul pulsante Ulteriore per iniziare il processo di recupero.

Puoi formattare i dischi e creare partizioni e hai la possibilità di escludere i dischi dall'operazione di formattazione (il disco contenente l'immagine di archivio viene automaticamente escluso). Inoltre, puoi semplicemente ripristinare l'immagine su una partizione di sistema esistente. Dietro il pulsante Inoltre Ci sono altre due opzioni nascoste.

Dopo aver deciso le opzioni di ripristino, fare clic sul pulsante Ulteriore, quindi, nell'ultima finestra della procedura guidata, fare clic sul pulsante Pronto. Windows 7 ti avviserà che tutti i dati verranno eliminati dalla partizione e inizierà il processo di ripristino.

Se non disponi di un disco di installazione di Windows 7, assicurati di creare un disco di ripristino del sistema. Questo disco ti consentirà di ripristinare un'immagine di backup del sistema anche se la partizione del servizio Windows RE sul disco rigido è danneggiata.

Non esistono molti modi per recuperare file crittografati da un attacco ransomware senza pagare un riscatto. Se siamo fortunati, potrebbero esserci alcuni strumenti gratuiti per recuperarli, ma un'opzione più realistica è ripristinare i file dai backup. Tuttavia, non tutti hanno un backup dei propri file, anche se Windows offre una funzionalità molto utile nota come Copia Shadow, che, in poche parole, è un backup dei tuoi file. I criminali informatici lo sanno da molto tempo e quindi, pochi mesi dopo la diffusione degli attacchi ransomware, la prima cosa che fanno quando infettano il tuo computer è eliminare la copia shadow dei tuoi file prima di iniziare a crittografare le tue informazioni.

Esistono numerose tecnologie che possono essere utilizzate per fermare gli attacchi ransomware: alcune sono quasi inutili, come le firme o l'euristica (queste sono le prime cose che gli autori di malware controllano prima di rilasciarli), altre a volte possono essere più efficaci, ma anche una combinazione Tutte queste tecniche non garantiscono che sarai protetto da tutti questi attacchi.

Più di 2 anni fa, il laboratorio antivirus PandaLabs ha utilizzato un approccio semplice ma abbastanza efficace: se qualche processo tenta di eliminare le copie shadow, molto probabilmente (ma non sempre, comunque), abbiamo a che fare con un programma dannoso e la maggior parte probabilmente con il crittografo Al giorno d'oggi, la maggior parte delle famiglie di ransomware rimuove le copie shadow, Perché in caso contrario, le persone non pagheranno il riscatto quando potranno recuperare i propri file gratuitamente. Vediamo quanti contagi sono stati fermati nel nostro laboratorio grazie a questo approccio. È logico supporre che questo numero dovrebbe crescere in modo esponenziale, perché Anche il numero di attacchi ransomware che utilizzano questa tecnica sta crescendo rapidamente. Ad esempio, ecco il numero di attacchi che abbiamo bloccato negli ultimi 12 mesi utilizzando il nostro approccio:

Ma nel diagramma vediamo esattamente il contrario di quanto ci aspettavamo. Com'è possibile? In effetti, la spiegazione di questo “fenomeno” è molto semplice: utilizziamo questo approccio come “ultima risorsa” quando nessun’altra tecnica di sicurezza riesce a rilevare nulla di sospetto, e quindi viene attivata questa regola, che blocca l’attacco ransomware. Utilizziamo questo approccio anche per scopi interni, grazie ai quali possiamo analizzare più in dettaglio quegli attacchi che sono stati bloccati “all'ultima riga” e quindi migliorare tutti i livelli di sicurezza precedenti. Usiamo questo approccio anche per valutare se stiamo bloccando il ransomware bene o male: in altre parole, più bassi sono i valori, migliori saranno le prestazioni delle nostre tecnologie principali. Quindi, come puoi vedere, l'efficienza del nostro lavoro sta aumentando.

Articolo originale.

Spero che tu stia creando copie shadow dell'intero disco, non sullo stesso disco del sistema, per poterle visualizzare?

In genere queste copie non sono visualizzabili, come i file archiviati, ma è chiaro che lo spazio è occupato.

Gestione dello spazio delle copie shadow

Lo spazio per l'archiviazione delle copie shadow viene allocato separatamente sui volumi di lavoro e su un disco di backup per una copia completa del sistema. Lo spazio utilizzato, allocato e massimo per le copie shadow può essere controllato eseguendo il comando seguente da un prompt dei comandi con privilegi elevati:

Elenco VSSAdmin ShadowStorage

Spazio utilizzato: lo spazio attualmente occupato dalle copie shadow; allocato: spazio riservato alle copie shadow (e non utilizzato per altre attività); massimo: la soglia superiore oltre la quale il volume delle copie shadow non può crescere.

L'allocazione dello spazio per le copie shadow è automatica e pertanto non può essere impostata dall'utente. Il nuovo spazio viene allocato in blocchi fissi poiché lo spazio precedentemente allocato è occupato. Per questo motivo il valore riportato per lo spazio utilizzato è sempre inferiore allo spazio assegnato.

Per i volumi di lavoro, lo spazio di archiviazione massimo consentito per le copie shadow viene determinato al momento della creazione della prima copia shadow, in genere quando si abilita per la prima volta Ripristino configurazione di sistema e si crea un punto di ripristino durante l'installazione. Il valore è impostato sul 30% dello spazio libero o sul 15% della dimensione totale del volume, a seconda di quale sia inferiore. Questa dimensione massima è statica. Non cambia quando lo spazio libero aumenta o diminuisce o quando cambiano le dimensioni del volume.

Tuttavia, è possibile modificare manualmente le dimensioni utilizzando lo strumento VSSAdmin da un prompt dei comandi con privilegi elevati. Ad esempio, per aumentare lo spazio di archiviazione massimo sull'unità C:\ a 15 GB, eseguire il comando seguente:

VSSAdmin Ridimensiona ShadowStorage /For=C: /On=C: /MaxSize=15GB

Questa funzionalità è apparsa per la prima volta su Windows Server®, dove le copie shadow di un volume specifico potevano essere conservate su un altro volume. In Windows Vista, le copie shadow del volume vengono archiviate sullo stesso volume. Pertanto, il volume da copiare e il volume in cui si trovano le copie devono essere gli stessi.

D'altro canto, la quantità di spazio di archiviazione delle copie shadow sul disco di destinazione del backup completo del computer è fissata al 30% dello spazio su disco totale. Questo valore è controllato dal programma di backup del computer e non può essere modificato manualmente. Questo spazio di archiviazione delle copie shadow viene utilizzato per archiviare copie incrementali create da Full Computer Backup.

Su un volume possono risiedere fino a 64 copie shadow contemporaneamente se è presente spazio sufficiente nell'area di archiviazione delle copie shadow. Una volta raggiunto il limite massimo di capacità, le copie shadow più vecchie vengono eliminate per fare spazio a quelle più recenti. Pertanto, i vecchi punti di ripristino per Ripristino configurazione di sistema vengono eliminati quando viene raggiunto il limite di archiviazione del volume di lavoro e i vecchi backup creati da CompletePC Backups vengono eliminati quando il disco di backup raggiunge tale limite. Inoltre, l'archiviazione e la modifica di altri dati su un disco di backup potrebbe interferire con il normale processo di invecchiamento dei backup, provocandone l'eliminazione più rapida.


Non cercare Dio, né in una pietra, né in un tempio: cerca Dio dentro di te. Lascia che il ricercatore trovi.

Leggi anche...

Cosa sono i milliampere e come influiscono sulle prestazioni della batteria?

Cosa sono i milliampere e come influiscono sulle prestazioni della batteria?

Bellissimo modulo AJAX per caricare file Caricamento di file Html5 utilizzando il drag drop

Bellissimo modulo AJAX per caricare file Caricamento di file Html5 utilizzando il drag drop

Generazioni di processori Intel: descrizione e caratteristiche dei modelli

Generazioni di processori Intel: descrizione e caratteristiche dei modelli

Il migliore sul sito
1

Collegare e programmare Arduino per principianti
2

Lavoro a turni presso OJSC NK Rosneft Stipendi di rappresentanti di determinate specializzazioni
3

TAP-Windows Adapter V9 cos'è e come rimuoverlo?
4

Design e scopo della scheda madre Dispositivo per l'interconnessione di un computer con altri
5

Come smussare i bordi in Photoshop
Nuovo
Intervista a Irina Rybchanskaya

Intervista a Irina Rybchanskaya
Uno più 5 specifiche tecniche

Uno più 5 specifiche tecniche
Modalità di ripristino e avvio rapido su Xiaomi

Modalità di ripristino e avvio rapido su Xiaomi
Sistema operativo e software

Sistema operativo e software
Lenovo K3 Nota - Specifiche

Lenovo K3 Nota - Specifiche
Riparazione di un cavo USB sul ginocchio

Riparazione di un cavo USB sul ginocchio
Come eseguire un ripristino del sistema su Windows XP?

Come eseguire un ripristino del sistema su Windows XP?
Come visualizzare e aggiornare Mozilla Firefox all'ultima versione

Come visualizzare e aggiornare Mozilla Firefox all'ultima versione

Consigliamo la lettura