Sveiki, draugai! Taigi aš vėl gavau pieštuką ir popierių. Tiksliau, į nešiojamąjį kompiuterį ir virtualią mašiną. Šiandien noriu pakalbėti apie tokį absoliučiai įdomų ir naudingą reiškinį kaip ankstesnės failų versijos arba „Windows“ šešėlinės kopijos.

Praktiškai parodykime, kaip dirbti su šešėlinėmis kopijomis.

Kaip atkurti ištrintus failus iš šešėlinių Windows kopijų

Čia turime „Windows“ darbalaukį. Jame yra du aplankai: ekranas ir ZIP, kuriuos ištrinsime ir atkursime. Trečias aplankas yra „ShadowExplorer“ – programa, su kuria dirbsiu su šešėlinėmis kopijomis. Aš esu programa, imk ją ir naudok! Taigi, kadangi ankstesnėse failų versijose (šešėlinėse kopijose) naudojami atkūrimo kontroliniai taškai, turėsime sukurti bent vieną tašką. Norėdami tai padaryti, eikite į sistemos ypatybes, skirtuką „Sistemos apsauga“. Mums svarbu, kad apsaugos nustatymuose būtų režimas „Įjungtas“, nustatymuose taip pat galite nustatyti rezervuotos vietos diske procentais šiems kontroliniams taškams, taip pat akimirksniu sukurti atkūrimo tašką (mygtukas „Sukurti“).

Spustelėkite „Sukurti“ ir įveskite valdymo taško pavadinimą:

Patikrinimo taško kūrimo procesas ( toliau – KT) užtrunka šiek tiek laiko.

Žinoma, galite pasitelkti duomenų atkūrimo programas, juolab kad objektas buvo visai neseniai ištrintas ir yra galimybė jį atkurti. Bet kas, jei taip nėra? Ką daryti, jei duomenų atkūrimo programos neduoda norimų rezultatų?

Duomenys iš „ šešėlinės kopijos“. Paleiskite programą ShadowExplorer. Pagrindiniame lange pamatysime išskleidžiamuosius sąrašus – pirmame – diską, kuriame kuriamos šešėlinės kopijos, antrajame – sistemos momentinio vaizdo sukūrimo datą.

Kadangi turime vieną sistemos momentinės nuotraukos kopiją, kaip ir loginį skaidinį, bus atidaryti reikalingi duomenys. Katalogų medyje išplėskite norimą katalogą ir pamatysite, kad mūsų dabar ištrinti katalogai vis dar yra! Dešiniuoju pelės mygtuku spustelėkite norimą katalogą ir spustelėkite „Eksportuoti“.
O dabar objektas restauruotas! Žinoma, tai nėra universalus metodas, tačiau vis dėlto jis yra gana perspektyvus ir naudingas.

Kur saugomos „Windows“ šešėlinės kopijos?

Šešėlinės „Windows“ kopijos saugomos „ Sistemos apimties informacija“, failuose su panašiais pavadinimais (GUID) (GUID2), Kur (GUID)– kopijos identifikatorius, (GUID2)– skyriaus identifikatorius.

Darbas su šešėlinėmis kopijomis naudojant shadowcopyview

„Nirsoft“ turi puikų įrankį, leidžiantį gana patogiai dirbti su šešėlinėmis kopijomis. Šios programos pavadinimas yra ShadowCopyView. Taip pat pridedu prie straipsnio; jei norite, galite atsisiųsti dabartinę versiją iš kūrėjų svetainės - ji nemokama.

Pagrindiniame lange rodomos šešėlinės kopijos (viršuje), o jų turinys apačioje. Taip pat yra kontekstinio meniu elementas " Kopijuoti pasirinktus failus į…“, kuri leidžia išgauti turinį iš šešėlinės kopijos.

Darbas su šešėlinėmis kopijomis iš komandinės eilutės

Bet ką daryti, jei po ranka neturite jokių įrankių? Jokių problemų, galite prijungti šešėlinės kopijos tomą naudodami komandinę eilutę ir atidaryti šešėlinę kopiją kaip katalogą naršyklėje.

Visų pirma, turime gauti šešėlinių kopijų sąrašą:

Visos šešėlinės kopijos bus rodomos panašia forma. Čia mus domina sukūrimo data ir laukas „Shadow copy volume“. Nukopijuokime šią eilutę ir sukurkime simbolinę nuorodą į šį katalogą:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Dėmesio! Pabaigoje būtinas pasvirasis brūkšnys; aš padariau ekrano kopiją be pasvirojo brūkšnio ir negalėjau įeiti į katalogą. Komanda mklink sukuria nuorodą C:\old į atsarginės kopijos katalogą (raktas /D).

Pažiūrėkime, kaip tai atrodo „Explorer“:

Bet tai visai nereiškia, kad dabar diske įrašyta 2 kartus daugiau informacijos. Ši informacija pažymėta kaip laisva, tačiau ji nebus perrašyta, kol nebus išnaudota laisvos vietos, skirtos atsarginės kopijos paslaugos sąrankos etape. Atminkite, kad ten nurodėme, kiek procentų disko skirti atsarginėms kopijoms. Tik išnaudojus visą likusią vietą, pakeistų failų šešėlinės kopijos bus perrašytos.

Draugai! Prisijunk prie mūsų

Ankstesniame straipsnyje buvo kalbama apie „Windows 7“ atsarginių kopijų kūrimo galimybes – failų archyvų ir disko vaizdų kūrimą. Šis straipsnis skirtas failų atkūrimui iš archyvo ir sistemos iš disko vaizdo, taip pat ankstesnių failų versijų atkūrimui.

Šiame puslapyje:

Failų atkūrimas iš archyvo

„Windows 7“ galite atkurti failus iš archyvo naudodami valdymo skydelio elementą.

Pagrindiniame valdymo skydo elemento lange yra trys failų atkūrimo parinktys:

• Atkurti mano failus- leidžia pasirinkti atskirus failus ir aplankus atkurti.
• Atkurti visų vartotojų failus- taip pat leidžia pasirinkti atskirus failus ir aplankus, bet visiems kompiuterių vartotojams.
• Norėdami atkurti failus, pasirinkite kitą atsarginę kopiją- leidžia atkurti visų vartotojų failus, taip pat pasirinkti archyvą, esantį tinklo diske.

Žemiau aptariame „mano“ failų atkūrimą. Pirmame failų atkūrimo vedlio lange gausu parinkčių, todėl eikime iš eilės.

Archyvo datos pasirinkimas. Pagal numatytuosius nustatymus naudojamas naujausias archyvas, apie kurį sistema praneša lange. Galite pasirinkti ankstesnę datą – pavyzdžiui, jei jums reikia senesnės failo kopijos.

Atrodo, kad sąsaja skirta labai dažnam archyvavimui – pagal nutylėjimą rodomi paskutinės savaitės archyvai (mano nuomone, tikslingiau iškart rodyti mėnesio archyvus), bet, žinoma, galima pasirinkti ir senesnius.

Ieškokite failų. Tai labai patogus įrankis, leidžiantis archyve akimirksniu rasti reikiamus failus.

Atkreipkite dėmesį, kad lange naudojama naršyklės sąsaja, t.y. paieškos rezultatuose galite pasirinkti norimus failo savybių stulpelius ir rūšiuoti pagal juos (tačiau grupavimo nėra).

Failų ir aplankų pridėjimas. Kartu su paieška galima pridėti ir atskirus failus bei aplankus – kiekvienas veiksmas turi savo mygtuką.

Atkuriamų failų sąrašas. Rodomi pridėtų aplankų ir atskirų failų pavadinimai.

Failų ir aplankų pašalinimas iš sąrašo. Failai ir aplankai ištrinami tik iš atkuriamų sąrašo, bet ne iš archyvo.

Pereikite prie atkurtų failų paskirties vietos pasirinkimo. Galite atkurti failus:

• į pradinę vietą. Tokiu atveju, jei yra failas tokiu pat pavadinimu, sistema parodys standartinį dialogo langą, kuriame bus prašoma perrašyti failą, išsaugoti abi kopijas aplanke arba atsisakyti kopijuoti.
• į jūsų nurodytą vietą. Tokiu atveju galima atkurti failus išlaikant aplanko struktūrą, pradedant nuo archyvo šaknies (paryškinta paveikslėlyje).

Nusprendę dėl galutinės atkuriamų failų vietos, spustelėkite mygtuką Atkurti.

Ankstesnių failų ir aplankų versijų atkūrimas

Įsivaizduokite, kad dirbdami su dokumentu ištrynėte jo dalį, išsaugojote failą ir uždarėte programą. Ir tada jie staiga prisiminė, kad ištrynė kažką labai svarbaus. Arba įsivaizduokite, kad ištrynėte failą po šiukšliadėžės, o po mėnesio jums jo tikrai reikėjo. Abiem atvejais turite gerą galimybę atkurti ankstesnes failų versijas, kurias galima išsaugoti sistemoje Windows 7 dviem būdais:

• failų archyvai, sukurti naudojant „Windows“ atsarginę kopiją
• šešėlinės kopijos, sukurtos sistemos apsaugos naudojant „Volume Shadow Copy Service“.

Ankstesnių versijų atkūrimas pasiekiamas iš failo arba aplanko ypatybių skirtuke Ankstesnės versijos.

Ankstesnių failų versijų atkūrimas iš archyvų

Jei failas įtrauktas į archyvą naudojant „Windows“ atsarginės kopijos įrankius, jo ypatybėse skirtuke Ankstesnės versijos Archyvavimas.

Jei atkurdama failą sistema aptiks, kad failas tokiu pačiu pavadinimu jau yra, būsite paraginti perrašyti esamą failą, išsaugoti jį kitu pavadinimu arba atsisakyti atkurti.

Žinoma, tą patį failą galima atkurti iš valdymo pulto, tačiau tai padaryti iš failo savybių gali būti patogiau ir greičiau.

Ankstesnių failų ir aplankų versijų atkūrimas iš šešėlinių kopijų

Kad būtų galima atkurti failus ir aplankus iš šešėlinių kopijų, turi veikti sistemos apsauga, kuri įjungiama kiekvienam diskui atskirai. Tai gali būti ne per daug akivaizdu, tačiau sistemos apsaugos nustatymai valdo „Volume Copy Shadow Copy“ paslaugos veikimą ir disko vietos kiekį, kuri suteikia saugyklą sistemos atkūrimo taškams ir failų bei aplankų šešėlinėms kopijoms.

Šešėlinės kopijos nėra saugomos neribotą laiką. Jiems yra skiriamas tam tikras procentas vietos diske, o pasiekus nurodytą limitą, senos kopijos pakeičiamos naujomis. Kadangi kalbama apie sistemos apsaugą ir atkūrimą, čia apsvarstysiu tik ankstesnių versijų atkūrimą.

Iš šešėlinių kopijų galite atkurti ankstesnes versijas:

• atskirus failus
• failų aplankai

Atskiro failo atkūrimas iš šešėlinės kopijos yra beveik tas pats, kas failo atkūrimas iš archyvo. Failo ypatybių skirtuke Ankstesnės versijos pamatysite versijų sąrašą ir bus nurodyta vieta Atkūrimo taškas.

Skirtingai nuo failo, išsaugoto archyve, tokiu atveju turėsite parinkčių atidaryti ir nukopijuoti failą į pasirinktą aplanką.

Be atskirų failų, galite atkurti aplankus iš šešėlinių kopijų. Versijų sąrašą galima pamatyti ypatybėse aplankus skirtuke Ankstesnės versijos.

Galite atidaryti aplanką, nukopijuoti jį į kitą vietą arba atkurti seną vietą. Atkuriant, kaip ir failus iš archyvų, sistema įspės, jei aplanke yra failas tokiu pačiu pavadinimu.

Ištrintų failų atkūrimas iš šešėlinių kopijų

Jei reikia atkurti ankstesnę esamo failo kopiją, tiesiog eikite į failo ypatybių skirtuką Ankstesnės versijos. Ką daryti, jei failas ištrintas? Turite du būdus:

• aplanko atkūrimas
• failų paieška

Iš šešėlinės kopijos galite atkurti aplanką, kuriame buvo failas, kaip aprašyta aukščiau. Jei neprisimenate tikslios failo vietos, bet apytiksliai žinote, kur jis buvo aplankų medyje, galite atkurti pirminį aplanką.

Tačiau prieš atkurdami aplanką galite pabandyti rasti ištrintą failą naudodami „Windows Search“. Pažvelkime į veiksmų seką naudodami pavyzdį. Ištryniau failą support_center01.png, o dabar man jo reikia. Žinau, kuriame aplanke jis buvo, ir ieškau jame failo (o jei nežinočiau tikslios vietos, ieškočiau artimiausiame pirminiame).

Šešėlinės kopijos neindeksuojamos, o ištrintas failas iš karto pašalinamas iš indekso, todėl paieška jo neranda. Todėl reikia ieškoti neindeksuotose vietose paspaudus Kompiuteris. Neindeksuotų failų paieška užtrunka ilgiau, bet už kantrybę bus atlyginta.

Šešėlinėse kopijose radau ne tik man reikalingą PNG failą, bet ir seniai ištrintą BMP failą tokiu pačiu pavadinimu, kurį buvau pamiršęs.

Kodėl gali trūkti šešėlinių kopijų

Perskaitę apie ankstesnes failų versijas, galbūt norėsite patikrinti, ar jos kuriamos jūsų sistemoje. Jei neradote ankstesnių versijų, tai gali reikšti, kad:

• sistemos apsauga išjungta, t.y. nėra atkūrimo taškų, kuriuose būtų saugomos ankstesnės sistemos failų versijos
• Sistemai apsaugoti skirta mažai vietos diske, todėl neužtenka vietos naudotojo failų šešėlinėms kopijoms
• failo ar aplanko turinys nepasikeitė – tokiu atveju šešėlinės kopijos nekuriamos

Apibendrindamas istoriją apie failų atkūrimą, noriu pabrėžti, kad „Windows“ technologijos yra tarpusavyje susijusios. Turėsite geriausias galimybes atkurti failus, jei naudosite „Windows“ atsarginę kopiją kartu su sistemos apsauga. Šias galimybes galite padidinti kurdami atsargines sistemos vaizdų kopijas, kurių atkūrimas bus aptartas toliau.

Sistemos atkūrimas iš anksčiau sukurto vaizdo

Diegiant „Windows 7“, standžiajame diske automatiškai sukuriamas aptarnavimo skaidinys, kuriame yra „Windows RE“ (atkūrimo aplinka). Naudodami šį skyrių galite:

• paleiskite į atkūrimo aplinką iš standžiojo disko
• sukurti sistemos taisymo diską ir paleisti iš jo

Paleidę į atkūrimo aplinką, galite atkurti sistemą iš iš anksto sukurto vaizdo.

Dėmesio! Išsamų sistemos taisymo disko kūrimo aprašymą, atkūrimo aplinką ir jos paleidimo parinktis rasite straipsnyje Windows RE atkūrimo aplinkos naudojimas sistemoje Windows 7. Žemiau aptariame tik „Windows RE“ paleidimą iš standžiojo disko.

Paleidimas į atkūrimo aplinką iš standžiojo disko

Norėdami patekti į meniu Papildomos atsisiuntimo parinktys, paspauskite F8įjungus kompiuterį, bet prieš įkeliant operacinę sistemą.

Pasirinkite pirmąjį meniu elementą - Kompiuterio trikčių šalinimas ir paspauskite Enter. Bus paleista „Windows“ atkūrimo aplinka, kur pirmiausia jūsų bus paprašyta pasirinkti klaviatūros išdėstymą.

Pasirinkite kalbą, kuria nustatytas jūsų administracinės paskyros slaptažodis, nes jūsų bus paprašyta jį įvesti kitame veiksme.

Įvedę slaptažodį pamatysite meniu su atkūrimo parinktimis, iš kurių viena yra Sistemos vaizdo atkūrimas.

Sistemos vaizdo atkūrimas iš Windows RE

„Windows RE“ teikia įvairius sistemos atkūrimo įrankius.

Taip pat galite pasirinkti kitą atkūrimo vaizdą. Pasirinkę vaizdą, spustelėkite mygtuką Toliau pradėti atkūrimo procesą.

Galite formatuoti diskus ir kurti skaidinius, taip pat turite galimybę neįtraukti diskus į formatavimo operaciją (diskas, kuriame yra archyvo vaizdas, automatiškai pašalinamas). Be to, galite tiesiog atkurti vaizdą į esamą sistemos skaidinį. Už mygtuko Papildomai Yra paslėptos dar dvi parinktys.

Kai nuspręsite dėl atkūrimo parinkčių, spustelėkite Toliau, tada paskutiniame vedlio lange spustelėkite mygtuką Paruošta. „Windows 7“ įspės, kad visi duomenys bus ištrinti iš skaidinio ir pradės atkūrimo procesą.

Jei neturite „Windows 7“ diegimo disko, būtinai sukurkite sistemos taisymo diską. Šis diskas leis atkurti sistemos atsarginę kopiją, net jei standžiajame diske esantis Windows RE paslaugų skaidinys yra pažeistas.

Nėra daug būdų, kaip atkurti išpirkos reikalaujančios programos atakos užšifruotus failus nemokant už juos išpirkos. Jei mums pasiseks, gali būti keletas nemokamų įrankių juos atkurti, tačiau realesnė galimybė yra atkurti failus iš atsarginių kopijų. Tačiau ne visi turi atsargines savo failų kopijas, nors „Windows“ siūlo labai naudingą funkciją, vadinamą „Shadow Copy“, kuri, trumpai tariant, yra jūsų failų atsarginė kopija. Kibernetiniai nusikaltėliai apie tai žinojo jau seniai, todėl, praėjus keliems mėnesiams po išpirkos reikalaujančių programų atakų išpopuliarėjimo, pirmas dalykas, kurį jie daro užkrėsdami jūsų kompiuterį, yra ištrinti šešėlinę failų kopiją prieš pradėdami šifruoti jūsų informaciją.

Yra daugybė technologijų, kuriomis galima sustabdyti išpirkos reikalaujančių programų atakas: kai kurios yra beveik nenaudingos, pavyzdžiui, parašai ar euristika (tai yra pirmieji dalykai, kuriuos kenkėjiškų programų autoriai patikrina prieš jas išleisdami), kitos kartais gali būti veiksmingesnės, bet netgi derinys. Visi šie metodai negarantuoja, kad būsite apsaugoti nuo visų tokių atakų.

Daugiau nei prieš 2 metus antivirusinė laboratorija PandaLabs naudojo paprastą, bet gana veiksmingą metodą: jei koks nors procesas bando ištrinti šešėlines kopijas, tada greičiausiai (bet ne visada, beje), susiduriame su kenkėjiška programa, o dauguma greičiausiai su kriptografu Šiomis dienomis dauguma išpirkos reikalaujančių programų šeimų pašalina šešėlines kopijas, nes Jei to nepadarysite, žmonės nemokės išpirkos, kai galės nemokamai atkurti failus. Pažiūrėkime, kiek infekcijų buvo sustabdyta mūsų laboratorijoje dėl šio metodo. Logiška manyti, kad šis skaičius turėtų augti eksponentiškai, nes Taip pat sparčiai auga išpirkos reikalaujančių programų atakų, naudojant šią techniką, skaičius. Pavyzdžiui, tai atakų, kurias per pastaruosius 12 mėnesių užblokavome naudodami savo metodą, skaičius:

Tačiau diagramoje matome visiškai priešingai nei tikėjomės. Kaip tai įmanoma? Tiesą sakant, yra labai paprastas šio „reiškinio“ paaiškinimas: mes naudojame šį metodą kaip „paskutinę išeitį“, kai jokia kita saugumo technika negali aptikti nieko įtartino, todėl suveikia ši taisyklė, kuri blokuoja išpirkos reikalaujančių programų ataką. Šį metodą naudojame ir vidiniais tikslais, todėl galime išsamiau išanalizuoti tas atakas, kurios buvo užblokuotos „paskutinėje eilutėje“, o vėliau pagerinti visus ankstesnius saugumo lygius. Taip pat naudojame šį metodą norėdami įvertinti, kaip gerai ar prastai sustabdome išpirkos reikalaujančias programas: kitaip tariant, kuo mažesnės vertės, tuo geriau veikia mūsų pagrindinės technologijos. Taigi, kaip matote, mūsų darbo efektyvumas didėja.

Originalus straipsnis.

Tikiuosi, kad kuriate viso disko šešėlines kopijas, o ne tame pačiame diske kaip sistema, kad galėtumėte jas peržiūrėti?

Paprastai šios kopijos nėra matomos, kaip ir archyviniai failai, tačiau akivaizdu, kad vieta yra užimta.

Vieta šešėlinėms kopijoms saugoti yra skirta atskirai darbiniuose tomuose ir atsarginiame diske visai sistemos kopijai. Naudojamą, skirtą ir maksimalią šešėlinių kopijų erdvę galima patikrinti paleidus šią komandą iš padidintos komandų eilutės:

„VSSDmin“ sąrašas „ShadowStorage“.

Naudota erdvė – erdvė, kurią šiuo metu užima šešėlinės kopijos; skirta – šešėlinėms kopijoms skirta vieta (ir nenaudojama kitoms užduotims); maksimalus – viršutinė riba, už kurios negali augti šešėlinių kopijų tūris.

Vietos šešėlinėms kopijoms paskirstymas yra automatinis, todėl vartotojas jo nustatyti negali. Nauja erdvė paskirstoma fiksuotais gabalais, kai užimta anksčiau skirta erdvė. Dėl šios priežasties pranešama panaudotos erdvės vertė visada yra mažesnė už skirtą erdvę.

Darbo apimtims didžiausia leistina šešėlinių kopijų saugyklos vieta nustatoma, kai sukuriama pirmoji šešėlinė kopija – paprastai pirmą kartą įjungiant sistemos atkūrimą ir diegiant sukuriant atkūrimo tašką. Vertė nustatyta į 30 % laisvos vietos arba 15 % viso tūrio dydžio – atsižvelgiant į tai, kuris dydis yra mažesnis. Šis didžiausias dydis yra statinis. Jis nesikeičia, kai laisvos vietos didėja arba mažėja, arba kai pasikeičia garsumo dydis.

Tačiau galite rankiniu būdu reguliuoti dydį naudodami VSSAdmin įrankį iš padidintos komandų eilutės. Pavyzdžiui, norėdami padidinti maksimalią atminties vietą C:\ diske iki 15 GB, paleiskite šią komandą:

VSAdmin Pakeiskite ShadowStorage dydį /For=C: /On=C: /MaxSize=15GB

Ši funkcija pirmą kartą pasirodė „Windows Server®“, kur konkretaus tomo šešėlinės kopijos galėjo būti laikomos kitame tome. „Windows Vista“ tomo šešėlinės kopijos saugomos tame pačiame tome. Todėl kopijuojamas tomas ir tomas, kuriame yra kopijos, turi būti vienodi.

Kita vertus, šešėlinės kopijos saugyklos vietos visos kompiuterio atsarginės kopijos paskirties diske yra 30 % visos disko vietos. Šią reikšmę valdo kompiuterio atsarginės kopijos programa ir jos negalima keisti rankiniu būdu. Ši šešėlinės kopijos saugojimo vieta naudojama laipsniškoms kopijoms, sukurtoms naudojant „Full Computer Backup“, saugoti.

Vienu metu tome gali būti iki 64 šešėlinių kopijų, jei šešėlinėje kopijų saugojimo srityje joms yra pakankamai vietos. Pasiekus didžiausią talpos limitą, senesnės šešėlinės kopijos ištrinamos, kad liktų vietos naujesnėms. Todėl seni sistemos atkūrimo taškai ištrinami, kai pasiekiamas darbinio tomo saugyklos limitas, o senos atsarginės kopijos, sukurtos naudojant CompletePC Backups, ištrinamos, kai atsarginės kopijos diskas pasiekia tą ribą. Be to, kitų duomenų saugojimas ir redagavimas atsarginiame diske gali trukdyti įprastam atsarginių kopijų senėjimo procesui, todėl jos gali būti greičiau ištrinamos.

Neieškok Dievo, ne akmenyje, ne šventykloje – ieškok Dievo savyje. Tegul ieškotojas randa.