Cześć przyjaciele! Więc znowu zabrałem się za ołówek i papier. Dokładniej, do laptopa i maszyny wirtualnej. Dzisiaj chcę porozmawiać o tak absolutnie interesującym i użytecznym zjawisku jak poprzednie wersje plików Lub Kopie w tle systemu Windows.

Pokażmy w praktyce, jak pracować z kopiami w tle.

Jak odzyskać usunięte pliki z kopii w tle systemu Windows

Tutaj mamy pulpit Windows. Znajdują się na nim dwa foldery: screen i zip, które usuniemy i przywrócimy. Trzeci folder to ShadowExplorer - program, w którym będę pracować z kopiami w tle. Jestem programem, weź go i używaj! Ponieważ poprzednie wersje plików (kopie w tle) korzystały z punktów kontrolnych odzyskiwania, będziemy musieli utworzyć co najmniej jeden punkt. W tym celu należy przejść do właściwości systemu, do zakładki „Ochrona systemu”. Ważne jest dla nas, aby ustawienia ochrony miały tryb „Włączony”, w ustawieniach można również ustawić zarezerwowane miejsce na dysku jako procent dla tych punktów kontrolnych, a także natychmiast utworzyć punkt odzyskiwania (przycisk „Utwórz”)

Kliknij „Utwórz” i wprowadź nazwę punktu kontrolnego:

Proces tworzenia punktu kontrolnego ( dalej – CT) zajmuje trochę czasu.

Można oczywiście skorzystać z programów do odzyskiwania danych, zwłaszcza, że ​​obiekt został usunięty bardzo niedawno i istnieje możliwość jego przywrócenia. Ale co, jeśli tak nie jest? A co jeśli programy do odzyskiwania danych nie przyniosą oczekiwanych rezultatów?

Dane z " kopie w tle„. Uruchommy program ShadowExplorer. W głównym oknie zobaczymy rozwijane listy – w pierwszym – dysk, na którym tworzone są kopie w tle, w drugim – data utworzenia migawki systemu.

Ponieważ mamy pojedynczą kopię migawki systemu, taką jak partycja logiczna, potrzebne nam dane zostaną otwarte. W drzewie katalogów rozwiń żądany katalog i sprawdź, czy nasze usunięte katalogi nadal tam są! Kliknij prawym przyciskiem myszy żądany katalog i kliknij „Eksportuj”.
A teraz obiekt został odrestaurowany! Oczywiście nie jest to metoda uniwersalna, ale mimo to jest całkiem realna i przydatna.

Gdzie są przechowywane kopie w tle systemu Windows?

Kopie w tle systemu Windows są przechowywane w „ Informacje o wolumenie systemowym„, w plikach o nazwach wyglądających jak (GUID)(GUID2), Gdzie (GUID)– identyfikator kopii, (GUID2)– identyfikator sekcji.

Praca z kopiami w tle za pomocą Shadowcopyview

Nirsoft ma doskonałe narzędzie, które pozwala całkiem wygodnie pracować z kopiami w tle. Nazwa tego programu to ShadowCopyView. Załączam go również do artykułu; jeśli chcesz, możesz pobrać aktualną wersję ze strony programistów - jest ona bezpłatna.

W głównym oknie wyświetlane są kopie w tle (na górze), a ich zawartość poniżej. Dostępna jest także pozycja menu kontekstowego „ Skopiuj wybrane pliki do…„, który pozwala wyodrębnić zawartość z kopii w tle.

Praca z kopiami w tle z wiersza poleceń

Co jednak zrobić, jeśli nie mamy pod ręką żadnego narzędzia? Nie ma problemu, możesz zamontować wolumin z kopią w tle za pomocą wiersza poleceń i otworzyć kopię w tle jako katalog w Eksploratorze.

Przede wszystkim musimy uzyskać listę kopii w tle:

Wszystkie kopie w tle będą wyświetlane w podobnej formie. Tutaj interesuje nas data utworzenia i pole „Wolumen kopii w tle”. Skopiujmy tę linię i utwórzmy dowiązanie symboliczne do tego katalogu:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Uwaga! Ukośnik na końcu jest wymagany; zrobiłem zrzut ekranu bez ukośnika i nie mogłem wejść do katalogu. Polecenie mklink tworzy łącze C:\old do katalogu (klucz /D) kopii zapasowej.

Zobaczmy jak to wygląda w Eksploratorze:

Nie oznacza to jednak wcale, że na dysku mamy teraz 2 razy więcej informacji zapisanych. Informacje te są oznaczone jako wolne, ale nie zostaną nadpisane do czasu wyczerpania się wolnego miejsca przydzielonego w fazie konfiguracji usługi tworzenia kopii zapasowych. Pamiętaj, wskazaliśmy tam, jaki procent dysku przeznaczyć na kopie zapasowe. Kopie w tle zmienionych plików zostaną nadpisane dopiero po wyczerpaniu całej pozostałej przestrzeni.

Przyjaciele! Dołączć do naszego

W poprzednim artykule omówiono możliwości tworzenia kopii zapasowych systemu Windows 7 - tworzenie archiwów plików i obrazów dysków. Artykuł ten poświęcony jest przywracaniu plików z archiwum i systemu z obrazu dysku, a także przywracaniu poprzednich wersji plików.

Na tej stronie:

Odzyskiwanie plików z archiwum

W systemie Windows 7 możesz przywrócić pliki z archiwum za pomocą elementu Panelu sterowania.

W głównym oknie elementu Panelu sterowania dostępne są trzy opcje odzyskiwania plików:

• Przywróć moje pliki- pozwala wybrać pojedyncze pliki i foldery do odzyskania.
• Odzyskaj pliki wszystkich użytkowników- umożliwia także wybranie pojedynczych plików i folderów, ale dla wszystkich użytkowników komputera.
• Wybierz inną kopię zapasową, aby przywrócić pliki- pozwala przywrócić pliki wszystkich użytkowników, a także wybrać archiwum znajdujące się na dysku sieciowym.

Poniżej omawiamy odzyskiwanie „moich” plików. Pierwsze okno Kreatora odzyskiwania plików jest pełne opcji, więc przejdźmy do kolejności.

Wybór daty archiwizacji. Domyślnie wykorzystywane jest najnowsze archiwum, o czym system informuje w oknie. Możesz wybrać wcześniejszą datę - np. jeśli potrzebujesz starszej kopii pliku.

Interfejs wydaje się być przystosowany do bardzo częstej archiwizacji - domyślnie wyświetlane są archiwa z ostatniego tygodnia (moim zdaniem rozsądniej jest od razu wyświetlić archiwa z miesiąca), ale można oczywiście wybrać starsze.

Wyszukaj pliki. To bardzo wygodne narzędzie, które pozwala na błyskawiczne odnalezienie potrzebnych plików w archiwum.

Należy pamiętać, że okno korzysta z interfejsu eksploratora, tzn. w wynikach wyszukiwania można wybrać żądane kolumny właściwości pliku i posortować je według nich (nie ma jednak możliwości grupowania).

Dodawanie plików i folderów. Wraz z wyszukiwaniem możliwe jest dodawanie pojedynczych plików i folderów - każda akcja ma swój własny przycisk.

Lista plików do odzyskania. Wyświetlane są nazwy dodanych folderów i poszczególnych plików.

Usuwanie plików i folderów z listy. Pliki i foldery są usuwane tylko z listy możliwych do odzyskania, ale nie z archiwum.

Przejdź do wyboru miejsca docelowego dla odzyskanych plików. Możesz odzyskać pliki:

• do pierwotnej lokalizacji. W takim przypadku, jeśli istnieje plik o tej samej nazwie, system wyświetli standardowe okno dialogowe z prośbą o nadpisanie pliku, zapisanie obu kopii w folderze lub odmowę kopiowania.
• do wskazanej przez Ciebie lokalizacji. W takim przypadku możliwe jest przywrócenie plików z zachowaniem struktury folderów, zaczynając od katalogu głównego archiwum (zaznaczonego na rysunku).

Po wybraniu ostatecznej lokalizacji plików do przywrócenia kliknij przycisk Przywrócić.

Przywracanie poprzednich wersji plików i folderów

Wyobraź sobie, że podczas pracy z dokumentem usunąłeś jego część, zapisałeś plik i zamknąłeś aplikację. A potem nagle przypomnieli sobie, że usunęli coś bardzo ważnego. Albo wyobraź sobie, że usunąłeś plik obok kosza, a miesiąc później naprawdę go potrzebowałeś. W obu przypadkach masz duże szanse na przywrócenie poprzednich wersji plików, które można zapisać w systemie Windows 7 na dwa sposoby:

• archiwa plików utworzone przy użyciu narzędzia Kopia zapasowa systemu Windows
• kopie w tle utworzone przez System Protection przy użyciu usługi kopiowania woluminów w tle

Dostęp do opcji Przywróć poprzednie wersje można uzyskać z właściwości pliku lub folderu na karcie Poprzednie wersje.

Przywracanie poprzednich wersji plików z archiwów

Jeżeli plik jest dołączany do archiwum przy użyciu narzędzi do tworzenia kopii zapasowych systemu Windows, w jego właściwościach na zakładce Poprzednie wersje Archiwizacja.

Jeżeli podczas przywracania pliku system wykryje, że plik o tej samej nazwie już istnieje, zostaniesz poproszony o zastąpienie istniejącego pliku, zapisanie go pod inną nazwą lub odmowę odzyskania.

Oczywiście ten sam plik można przywrócić z panelu sterowania, ale zrobienie tego z poziomu właściwości pliku może być wygodniejsze i szybsze.

Odzyskiwanie poprzednich wersji plików i folderów z kopii w tle

Aby móc przywrócić pliki i foldery z kopii w tle, musi działać ochrona systemu, która jest włączona dla każdego dysku osobno. Może nie jest to zbyt oczywiste, ale ustawienia ochrony systemu kontrolują działanie i ilość miejsca na dysku dla usługi Volume Copy Shadow Copy, która zapewnia miejsce na punkty przywracania systemu oraz kopie w tle plików i folderów.

Kopie w tle nie są przechowywane przez czas nieokreślony. Przydzielany jest im określony procent miejsca na dysku, a po osiągnięciu określonego limitu stare kopie są zastępowane nowymi. Ponieważ mówi o ochronie i odzyskiwaniu systemu, tutaj rozważę jedynie przywrócenie poprzednich wersji.

Z kopii w tle możesz przywrócić poprzednie wersje:

• oddzielne pliki
• Foldery z plikami

Przywracanie pojedynczego pliku z kopii w tle jest prawie takie samo, jak przywracanie pliku z archiwum. W zakładce właściwości pliku Poprzednie wersje zobaczysz listę wersji i zostanie wskazana lokalizacja Punkt przywracania.

W przeciwieństwie do pliku zapisanego w archiwum, w tym przypadku będziesz mieć możliwość otwarcia i skopiowania pliku do wybranego folderu.

Oprócz pojedynczych plików możesz przywracać foldery z kopii w tle. Listę wersji można zobaczyć we właściwościach lornetka składana na karcie Poprzednie wersje.

Możesz otworzyć folder, skopiować go do innej lokalizacji lub przywrócić do starej lokalizacji. Podczas przywracania, podobnie jak w przypadku plików z archiwów, system ostrzeże Cię, jeśli w folderze znajduje się plik o tej samej nazwie.

Odzyskiwanie usuniętych plików z kopii w tle

Jeśli chcesz przywrócić poprzednią kopię istniejącego pliku, wystarczy przejść do zakładki we właściwościach pliku Poprzednie wersje. Co zrobić, jeśli plik zostanie usunięty? Masz dwa sposoby:

• odzyskiwanie folderów
• wyszukiwanie plików

Z kopii w tle możesz przywrócić folder, w którym znajdował się plik, jak opisano powyżej. Jeśli nie pamiętasz dokładnej lokalizacji pliku, ale masz przybliżone pojęcie, gdzie się on znajdował w drzewie folderów, możesz przywrócić folder nadrzędny.

Jednak przed przywróceniem folderu możesz spróbować znaleźć usunięty plik za pomocą usługi Windows Search. Spójrzmy na sekwencję działań na przykładzie. Usunąłem plik support_center01.png, a teraz tego potrzebuję. Wiem, w którym folderze się znajdował, i szukam w nim pliku (a gdybym nie znał dokładnej lokalizacji, szukałbym w najbliższym nadrzędnym).

Kopie w tle nie są indeksowane, a usunięty plik jest natychmiast wykluczany z indeksu, więc wyszukiwanie go nie znajduje. Dlatego należy szukać w miejscach nieindeksowanych poprzez kliknięcie Komputer. Wyszukiwanie plików nieindeksowanych trwa dłużej, ale Twoja cierpliwość zostanie nagrodzona.

W kopiach w tle znalazłem nie tylko potrzebny mi plik PNG, ale także dawno usunięty plik BMP o tej samej nazwie, o którym zapomniałem.

Dlaczego może brakować kopii w tle

Po przeczytaniu o poprzednich wersjach plików możesz sprawdzić, czy są one tworzone w Twoim systemie. Jeśli nie znalazłeś żadnych poprzednich wersji, może to oznaczać, że:

• ochrona systemu jest wyłączona, tj. nie ma punktów przywracania, w których przechowywane są poprzednie wersje plików systemowych
• Do ochrony systemu przydzielana jest niewielka ilość miejsca na dysku, więc nie ma wystarczającej ilości miejsca na kopie w tle plików użytkownika
• zawartość pliku lub folderu nie uległa zmianie – w tym przypadku kopie w tle nie są tworzone

Podsumowując historię odzyskiwania plików, chcę podkreślić, że technologie Windows są ze sobą powiązane. Największą szansę na odzyskanie plików będziesz mieć, jeśli użyjesz Kopii zapasowej systemu Windows wraz z Ochroną systemu. Możesz zwiększyć te szanse, tworząc kopie zapasowe obrazów systemu, których przywrócenie zostanie omówione poniżej.

Przywracanie systemu z wcześniej utworzonego obrazu

Podczas instalacji systemu Windows 7 na dysku twardym automatycznie tworzona jest partycja serwisowa zawierająca środowisko odzyskiwania systemu Windows RE (Recovery Environment). Korzystając z tej sekcji możesz:

• uruchom środowisko odzyskiwania z dysku twardego
• utwórz dysk naprawy systemu i uruchom z niego komputer

Uruchamiając środowisko odzyskiwania, możesz przywrócić system z wcześniej utworzonego obrazu.

Uwaga! Szczegółowy opis tworzenia dysku naprawy systemu, środowiska przywracania i opcji uruchamiania systemu można znaleźć w artykule Korzystanie ze środowiska odzyskiwania Windows RE w systemie Windows 7. Poniżej omawiamy jedynie uruchamianie systemu Windows RE z dysku twardego.

Uruchamianie środowiska odzyskiwania z dysku twardego

Aby wejść do menu Dodatkowe opcje pobierania, naciskać F8 po włączeniu komputera, ale przed załadowaniem systemu operacyjnego.

Wybierz pierwszą pozycję menu - Rozwiązywanie problemów z komputerem i naciśnij Enter. Uruchomi się środowisko odzyskiwania systemu Windows, w którym pierwszą rzeczą, o którą zostaniesz poproszony, będzie wybranie układu klawiatury.

Wybierz język, w którym ustawione jest hasło do Twojego konta administracyjnego, gdyż w kolejnym kroku zostaniesz poproszony o jego podanie.

Po wprowadzeniu hasła zobaczysz menu z opcjami odzyskiwania, z których jedną jest Przywracanie obrazu systemu.

Przywracanie obrazu systemu z Windows RE

Windows RE udostępnia różne narzędzia do odzyskiwania systemu.

Możesz także wybrać inny obraz odzyskiwania. Po wybraniu obrazu kliknij przycisk Dalej aby rozpocząć proces odzyskiwania.

Możesz formatować dyski i tworzyć partycje, a także masz możliwość wykluczenia dysków z operacji formatowania (dysk zawierający obraz archiwum jest automatycznie wykluczany). Można także po prostu przywrócić obraz na istniejącą partycję systemową. Za przyciskiem Dodatkowo Ukryte są jeszcze dwie opcje.

Po wybraniu opcji odzyskiwania kliknij przycisk Dalej, a następnie w ostatnim oknie kreatora kliknij przycisk Gotowy. System Windows 7 wyświetli ostrzeżenie, że wszystkie dane zostaną usunięte z partycji i rozpocznie się proces odzyskiwania.

Jeśli nie masz dysku instalacyjnego systemu Windows 7, pamiętaj o utworzeniu dysku naprawy systemu. Dysk ten umożliwi przywrócenie obrazu kopii zapasowej systemu nawet w przypadku uszkodzenia partycji serwisowej Windows RE na dysku twardym.

Nie ma wielu sposobów na odzyskanie plików zaszyfrowanych przez atak ransomware bez płacenia za nie okupu. Jeśli będziemy mieli szczęście, być może dostępne będą bezpłatne narzędzia do ich odzyskania, ale bardziej realistyczną opcją jest przywrócenie plików z kopii zapasowych. Jednak nie każdy ma kopie zapasowe swoich plików, chociaż Windows oferuje bardzo przydatną funkcję znaną jako Shadow Copy, która w skrócie jest kopią zapasową twoich plików. Cyberprzestępcy wiedzą o tym od dawna, dlatego kilka miesięcy po tym, jak ataki ransomware stały się popularne, pierwszą rzeczą, jaką robią, gdy infekują Twój komputer, jest usunięcie kopii w tle plików przed rozpoczęciem szyfrowania informacji.

Istnieje wiele technologii, które można wykorzystać do powstrzymania ataków oprogramowania ransomware: niektóre są prawie bezużyteczne, np. sygnatury lub heurystyka (są to pierwsze rzeczy, które autorzy złośliwego oprogramowania sprawdzają przed ich wypuszczeniem), inne mogą czasami być bardziej skuteczne, ale nawet kombinacja Wszystkie te techniki nie gwarantują, że będziesz chroniony przed wszystkimi tego typu atakami.

Ponad 2 lata temu laboratorium antywirusowe PandaLabs zastosowało proste, ale dość skuteczne podejście: jeśli jakiś proces próbuje usunąć kopie w tle, to najprawdopodobniej (choć nie zawsze, nawiasem mówiąc), mamy do czynienia ze złośliwym programem, a większość prawdopodobnie z kryptografem Obecnie większość rodzin oprogramowania ransomware usuwa kopie w tle, ponieważ jeśli tego nie zrobisz, ludzie nie zapłacą okupu, jeśli będą mogli odzyskać swoje pliki za darmo. Przyjrzyjmy się, ile infekcji udało się zatrzymać w naszym laboratorium dzięki takiemu podejściu. Logiczne jest założenie, że liczba ta powinna rosnąć wykładniczo, ponieważ Liczba ataków ransomware wykorzystujących tę technikę również szybko rośnie. Oto na przykład liczba ataków, które zablokowaliśmy w ciągu ostatnich 12 miesięcy przy użyciu naszego podejścia:

Ale na schemacie widzimy dokładnie odwrotnie, niż się spodziewaliśmy. Jak to jest możliwe? Tak naprawdę istnieje bardzo proste wyjaśnienie tego „zjawiska”: używamy tego podejścia jako „ostateczności”, gdy żadna inna technika bezpieczeństwa nie jest w stanie wykryć niczego podejrzanego, i dlatego uruchamiana jest ta reguła, która blokuje atak ransomware. Z tego podejścia korzystamy również na potrzeby wewnętrzne, dzięki czemu możemy dokładniej przeanalizować te ataki, które zostały zablokowane na „ostatniej linii”, a następnie poprawić wszystkie dotychczasowe poziomy bezpieczeństwa. Stosujemy to podejście również do oceny, jak dobrze lub słabo powstrzymujemy oprogramowanie ransomware: innymi słowy, im niższe wartości, tym lepiej działają nasze podstawowe technologie. Jak więc widać efektywność naszej pracy wzrasta.

Oryginalny artykuł.

Mam nadzieję, że tworzysz kopie w tle całego dysku, a nie na tym samym dysku, co system, aby je wyświetlić?

Zwykle tych kopii nie można przeglądać, podobnie jak plików zarchiwizowanych, ale jasne jest, że miejsce jest zajęte.

Miejsce do przechowywania kopii w tle jest przydzielane osobno na woluminach roboczych i na dysku zapasowym dla pełnej kopii systemu. Używane, przydzielone i maksymalne miejsce na kopie w tle można sprawdzić, uruchamiając następujące polecenie w wierszu poleceń z podwyższonym poziomem uprawnień:

Lista VSSAdmin ShadowStorage

Używana przestrzeń - przestrzeń aktualnie zajmowana przez kopie w tle; przydzielone - miejsce zarezerwowane na kopie w tle (i niewykorzystane do innych zadań); maksimum - górny próg, powyżej którego nie może wzrosnąć ilość kopii w tle.

Przydział miejsca na kopie w tle jest automatyczny i dlatego użytkownik nie może go ustawić. Nowa przestrzeń jest przydzielana w stałych fragmentach w miarę zajętości wcześniej przydzielonej przestrzeni. Z tego powodu wartość zajętej powierzchni jest zawsze niższa od przydzielonej powierzchni.

W przypadku woluminów roboczych maksymalna dozwolona przestrzeń dyskowa dla kopii w tle jest określana podczas tworzenia pierwszej kopii w tle — zwykle po pierwszym włączeniu Przywracania systemu i utworzeniu punktu przywracania podczas instalacji. Wartość jest ustawiona na 30% wolnego miejsca lub 15% całkowitego rozmiaru woluminu – w zależności od tego, która wartość jest mniejsza. Ten maksymalny rozmiar jest statyczny. Nie zmienia się wraz ze wzrostem lub zmniejszeniem ilości wolnego miejsca lub zmianą rozmiaru woluminu.

Można jednak ręcznie dostosować rozmiar za pomocą narzędzia VSSAdmin z poziomu wiersza poleceń z podwyższonym poziomem uprawnień. Na przykład, aby zwiększyć maksymalną ilość miejsca na dysku C:\ do 15 GB, uruchom następujące polecenie:

VSSAdmin Zmień rozmiar ShadowStorage /For=C: /On=C: /MaxSize=15GB

Ta funkcja pojawiła się po raz pierwszy w systemie Windows Server®, gdzie kopie w tle określonego woluminu można było przechowywać na innym woluminie. W systemie Windows Vista kopie woluminów w tle są przechowywane na tym samym woluminie. Dlatego wolumin kopiowany i wolumin, na którym znajdują się kopie, muszą być takie same.

Z drugiej strony ilość miejsca na kopie w tle na dysku docelowym pełnej kopii zapasowej komputera jest ustalona na 30% całkowitego miejsca na dysku. Wartość ta jest kontrolowana przez komputerowy program do tworzenia kopii zapasowych i nie można jej zmienić ręcznie. To miejsce na kopie w tle służy do przechowywania kopii przyrostowych utworzonych przez funkcję Pełna kopia zapasowa komputera.

Na woluminie mogą jednocześnie znajdować się maksymalnie 64 kopie w tle, jeśli w obszarze przechowywania kopii w tle jest dla nich wystarczająca ilość miejsca. Po osiągnięciu maksymalnego limitu pojemności starsze kopie w tle są usuwane, aby zrobić miejsce na nowsze. Dlatego stare punkty przywracania narzędzia Przywracanie systemu są usuwane po osiągnięciu limitu miejsca na woluminie roboczym, a stare kopie zapasowe utworzone za pomocą narzędzia CompletePC Backups są usuwane po osiągnięciu tego limitu na dysku kopii zapasowej. Ponadto przechowywanie i edytowanie innych danych na dysku kopii zapasowej może zakłócać normalny proces starzenia się kopii zapasowych, powodując ich szybsze usuwanie.

Nie szukaj Boga, nie w kamieniu, nie w świątyni - szukaj Boga w sobie. Niech poszukiwacz znajdzie.