Bună prieteni! Așa că am ajuns din nou la creion și hârtie. Mai exact, la un laptop și o mașină virtuală. Astăzi vreau să vorbesc despre un fenomen atât de interesant și util ca versiunile anterioare ale fișierelor sau Copii umbre Windows.

Să demonstrăm în practică cum să lucrați cu copii umbra.

Cum să recuperați fișierele șterse din copii shadow Windows

Aici avem un desktop Windows. Există două foldere pe el: screen și zip, pe care le vom șterge și restaura. Al treilea folder este ShadowExplorer - programul cu care voi lucra cu copii umbre. Eu sunt programul, ia-l și folosește-l! Deci, deoarece versiunile anterioare de fișiere (copii umbra) folosesc puncte de control de recuperare, va trebui să creăm cel puțin un punct. Pentru a face acest lucru, accesați proprietățile sistemului, la fila „Protecția sistemului”. Este important pentru noi ca setările de protecție să aibă modul „Activat”, în setări puteți seta și spațiul rezervat pe disc ca procent pentru aceste puncte de control și, de asemenea, să creați instantaneu un punct de recuperare (butonul „Creare”)

Faceți clic pe „Creați” și introduceți numele punctului de control:

Procesul de creare a unui punct de control ( mai departe – CT) durează ceva timp.

Desigur, puteți apela la programe de recuperare a datelor, mai ales că obiectul a fost șters foarte recent și există posibilitatea de a-l restaura. Dar dacă nu este cazul? Ce se întâmplă dacă programele de recuperare de date nu dau rezultatele dorite?

Date de la „ copii umbră„. Să lansăm programul ShadowExplorer. Vom vedea liste derulante în fereastra principală - în prima - discul pe care sunt create copiile umbră, în a doua - data creării instantaneului de sistem.

Deoarece avem o singură copie a instantaneului de sistem, cum ar fi partiția logică, se vor deschide exact datele de care avem nevoie. În arborele de directoare, extindeți directorul dorit și vedeți că directoarele noastre acum șterse sunt încă acolo! Faceți clic dreapta pe directorul dorit și faceți clic pe „Export”.
Și acum, obiectul a fost restaurat! Desigur, aceasta nu este o metodă universală, dar, cu toate acestea, este destul de viabilă și utilă.

Unde sunt stocate Windows Shadow Copies?

Copiile umbră ale Windows sunt stocate în „ Informații despre volumul sistemului„, în fișiere cu nume care arată ca (GUID)(GUID2), Unde (GUID)- identificatorul copiei, (GUID2)– identificatorul secțiunii.

Lucrul cu copii shadow folosind shadowcopyview

Nirsoft are un instrument excelent care vă permite să lucrați cu copii umbre destul de convenabil. Numele acestui program este ShadowCopyView. De asemenea, îl atașez articolului; dacă doriți, puteți descărca versiunea actuală de pe site-ul dezvoltatorilor - este gratuit.

Fereastra principală afișează copii umbră (în partea de sus) și conținutul acestora dedesubt. Există, de asemenea, un element de meniu contextual „ Copiați fișierele selectate în...„, care vă permite să extrageți conținut din copia umbră.

Lucrul cu copii umbre din linia de comandă

Dar ce să faci dacă nu ai unelte la îndemână? Nicio problemă, puteți monta volumul de copiere umbră folosind linia de comandă și puteți deschide copia umbră ca director în Explorer.

În primul rând, trebuie să obținem o listă de copii umbră:

Toate copiile umbră vor fi afișate într-o formă similară. Aici ne interesează data creării și câmpul „Shadow copy volume”. Să copiem această linie și să creăm o legătură simbolică către acest director:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Atenţie! Bara oblică de la sfârșit este necesară; am făcut captura de ecran fără bară oblică și nu am putut intra în director. Comanda mklink creează o legătură C:\old către directorul (cheia /D) al copiei de rezervă.

Să vedem cum arată în Explorer:

Dar asta nu înseamnă deloc că acum avem de 2 ori mai multe informații înregistrate pe disc. Aceste informații sunt marcate ca libere, dar nu vor fi suprascrise până când spațiul liber alocat în timpul fazei de configurare a serviciului de rezervă este epuizat. Amintiți-vă, am indicat acolo ce procent din disc să aloce pentru copii de rezervă. Numai după ce tot spațiul rămas este epuizat, copiile umbră ale fișierelor modificate vor fi suprascrise.

Prieteni! Alăturați-vă noastre

Articolul anterior a vorbit despre capacitățile de backup ale Windows 7 - crearea de arhive de fișiere și imagini de disc. Acest articol este dedicat restaurării fișierelor dintr-o arhivă și sistem dintr-o imagine de disc, precum și restaurării versiunilor anterioare ale fișierelor.

Pe aceasta pagina:

Recuperarea fișierelor dintr-o arhivă

În Windows 7, puteți restaura fișiere dintr-o arhivă folosind elementul Panoul de control.

În fereastra principală a elementului Panoul de control, există trei opțiuni de recuperare a fișierelor:

• Recuperează fișierele mele- vă permite să selectați fișiere și foldere individuale pentru recuperare.
• Recuperați fișierele tuturor utilizatorilor- vă permite de asemenea să selectați fișiere și foldere individuale, dar pentru toți utilizatorii de computer.
• Selectați o altă copie de rezervă pentru a restaura fișierele- vă permite să restaurați fișierele tuturor utilizatorilor, precum și să selectați o arhivă situată pe o unitate de rețea.

Mai jos discutăm despre recuperarea fișierelor „mei”. Prima fereastră a Expertului de recuperare a fișierelor este plină de opțiuni, așa că să mergem în ordine.

Selectarea datei arhivei. În mod implicit, se utilizează cea mai recentă arhivă, pe care sistemul o raportează în fereastră. Puteți alege o dată anterioară - de exemplu, dacă aveți nevoie de o copie mai veche a fișierului.

Interfața pare a fi concepută pentru arhivare foarte frecventă - implicit sunt afișate arhivele din ultima săptămână (după părerea mea, are mai mult sens să afișați imediat arhivele pentru luna), dar le puteți selecta pe cele mai vechi, desigur.

Cauta fișiere. Acesta este un instrument foarte convenabil care vă permite să găsiți instantaneu fișierele de care aveți nevoie în arhivă.

Vă rugăm să rețineți că fereastra folosește o interfață de explorare, adică în rezultatele căutării puteți selecta coloanele dorite de proprietăți ale fișierului și puteți sorta după ele (cu toate acestea, nu există nicio grupare).

Adăugarea de fișiere și foldere. Odată cu căutarea, este posibil să adăugați fișiere și foldere individuale - fiecare acțiune are propriul buton.

Lista fișierelor recuperabile. Sunt afișate numele folderelor adăugate și ale fișierelor individuale.

Eliminarea fișierelor și folderelor din listă. Fișierele și folderele sunt șterse doar din lista celor recuperabile, dar nu și din arhivă.

Continuați cu selectarea destinației pentru fișierele restaurate. Puteți recupera fișiere:

• la locația inițială. În acest caz, dacă există un fișier cu același nume, sistemul va afișa un dialog standard care vă va cere să suprascrieți fișierul, să salvați ambele copii într-un folder sau să refuzați copierea.
• la locația specificată de tine. În acest caz, este posibilă restaurarea fișierelor menținând structura folderelor, pornind de la rădăcina arhivei (evidențiată în figură).

După ce ați decis locația finală a fișierelor de restaurat, faceți clic pe butonul Restabili.

Restaurarea versiunilor anterioare ale fișierelor și folderelor

Imaginați-vă că în timp ce lucrați cu un document, ați șters o parte a acestuia, ați salvat fișierul și ați închis aplicația. Și apoi și-au amintit brusc că au șters ceva foarte important. Sau imaginați-vă că ați șters un fișier din coșul de gunoi și, o lună mai târziu, ați avut mare nevoie de el. În ambele cazuri, aveți șanse mari să restaurați versiunile anterioare ale fișierelor care pot fi salvate în Windows 7 în două moduri:

• arhive de fișiere create folosind Windows Backup
• copii shadow create de System Protection utilizând Serviciul de copiere umbră volum

Restaurarea versiunilor anterioare este accesată din proprietățile fișierului sau folderului din filă Versiuni anterioare.

Restaurarea versiunilor anterioare ale fișierelor din arhive

Dacă fișierul este inclus în arhivă folosind instrumente de backup Windows, în proprietățile sale din filă Versiuni anterioare Arhivare.

Dacă, la restaurarea unui fișier, sistemul detectează că un fișier cu același nume există deja, vi se va solicita să suprascrieți fișierul existent, să-l salvați cu un alt nume sau să refuzați recuperarea.

Desigur, același fișier poate fi restaurat din panoul de control, dar a face acest lucru din proprietățile fișierului poate fi mai convenabil și mai rapid.

Recuperarea versiunilor anterioare de fișiere și foldere din copii umbre

Pentru a putea restaura fișierele și folderele din copiile umbre, protecția sistemului trebuie să funcționeze, care este activată pentru fiecare disc separat. Poate că nu este prea evident, dar setările de protecție a sistemului controlează funcționarea și cantitatea de spațiu pe disc pentru serviciul Volume Copy Shadow Copy, care oferă spațiu de stocare pentru punctele de restaurare a sistemului și copii shadow ale fișierelor și folderelor.

Copiile Shadow nu sunt stocate la infinit. Li se alocă un anumit procent din spațiu pe disc, iar când se atinge limita specificată, copiile vechi sunt înlocuite cu altele noi. Deoarece se vorbește despre protecția și recuperarea sistemului, aici voi lua în considerare doar restaurarea versiunilor anterioare.

Din copii umbră puteți restaura versiunile anterioare:

• fișiere separate
• folderele de fișiere

Restaurarea unui fișier individual dintr-o copie umbra este aproape aceeași cu restaurarea unui fișier dintr-o arhivă. În fila proprietăți fișier Versiuni anterioare veți vedea o listă de versiuni, iar locația va fi indicată Punct de restaurare.

Spre deosebire de un fișier salvat într-o arhivă, în acest caz veți avea opțiuni pentru a deschide și copia fișierul într-un folder la alegere.

În plus față de fișierele individuale, puteți restaura foldere din copii umbre. Lista versiunilor poate fi văzută în proprietăți foldere pe filă Versiuni anterioare.

Puteți deschide folderul, îl puteți copia într-o altă locație sau îl puteți restaura în vechea locație. La restaurare, ca și în cazul fișierelor din arhive, sistemul vă va avertiza dacă în folder există un fișier cu același nume.

Recuperarea fișierelor șterse din copii umbre

Dacă trebuie să restaurați o copie anterioară a unui fișier existent, mergeți la fila din proprietățile fișierului Versiuni anterioare. Ce să faci dacă fișierul este șters? Aveți două moduri:

• recuperare folder
• căutare de fișiere

Din copia umbră, puteți restaura folderul în care a fost localizat fișierul, așa cum este descris mai sus. Dacă nu vă amintiți locația exactă a unui fișier, dar aveți o idee aproximativă despre locul în care se afla în arborele folderelor, puteți restabili folderul părinte.

Cu toate acestea, înainte de a restaura folderul, puteți încerca să găsiți fișierul șters folosind Căutarea Windows. Să ne uităm la secvența acțiunilor folosind un exemplu. Am șters fișierul support_center01.png, iar acum am nevoie de el. Știu în ce folder a fost și caut fișierul în el (și dacă nu aș ști locația exactă, aș căuta în cel mai apropiat părinte).

Copiile umbră nu sunt indexate, iar fișierul șters este imediat exclus din index, așa că căutarea nu îl găsește. Prin urmare, trebuie să căutați în locuri neindexate făcând clic Calculator. Căutarea fișierelor neindexate durează mai mult, dar răbdarea ta va fi răsplătită.

În copiile umbră am găsit nu numai fișierul PNG de care aveam nevoie, ci și un fișier BMP șters de mult cu același nume, de care uitasem.

De ce poate lipsi copiile umbra

După ce ați citit despre versiunile anterioare ale fișierelor, este posibil să doriți să verificați dacă acestea sunt create pe sistemul dvs. Dacă nu ați găsit versiuni anterioare, ar putea însemna că:

• protecția sistemului este dezactivată, adică nu există puncte de restaurare în care sunt stocate versiunile anterioare ale fișierelor de sistem
• Este alocat puțin spațiu pe disc pentru a proteja sistemul, așa că nu există suficient spațiu pentru copiile umbră ale fișierelor utilizator
• conținutul fișierului sau folderului nu s-a modificat - în acest caz, nu sunt create copii umbră

Pentru a rezuma povestea despre recuperarea fișierelor, vreau să subliniez faptul că tehnologiile Windows sunt interconectate. Veți avea cele mai mari șanse de a vă recupera fișierele dacă utilizați Windows Backup împreună cu System Protection. Puteți crește aceste șanse creând imagini de sistem de rezervă, a căror restaurare va fi discutată mai jos.

Restaurarea sistemului dintr-o imagine creată anterior

În timpul instalării Windows 7, pe hard disk este creată automat o partiție de serviciu care conține Windows RE (Recovery Environment). Folosind această secțiune puteți:

• porniți în mediul de recuperare de pe hard disk
• creați un disc de reparare a sistemului și porniți de pe acesta

Pornind în mediul de recuperare, puteți restaura sistemul dintr-o imagine pre-creată.

Atenţie! Pentru o descriere detaliată a creării unui disc de reparare a sistemului, a mediului de recuperare și a opțiunilor de pornire în acesta, consultați articolul Utilizarea mediului de recuperare Windows RE în Windows 7. Mai jos discutăm doar despre pornirea în Windows RE de pe un hard disk.

Pornirea în mediul de recuperare de pe hard disk

Pentru a intra în meniu Opțiuni suplimentare de descărcare, presa F8 după pornirea computerului, dar înainte de a încărca sistemul de operare.

Selectați primul element de meniu - Depanarea computeruluiși apăsați Enter. Se va lansa Windows Recovery Environment, unde primul lucru care vi se va cere este să selectați aspectul tastaturii.

Selectați limba în care este setată parola contului dvs. administrativ, deoarece vi se va cere să o introduceți la pasul următor.

După ce ați introdus parola, veți vedea un meniu cu opțiuni de recuperare, dintre care una este Restaurarea unei imagini de sistem.

Restaurarea unei imagini de sistem din Windows RE

Windows RE oferă diverse instrumente de recuperare a sistemului.

De asemenea, puteți alege o altă imagine de recuperare. După selectarea unei imagini, faceți clic pe butonul Mai departe pentru a începe procesul de recuperare.

Puteți formata discuri și crea partiții și aveți opțiunea de a exclude discurile din operația de formatare (discul care conține imaginea de arhivă este exclus automat). De asemenea, puteți pur și simplu să restaurați imaginea pe o partiție de sistem existentă. În spatele butonului În plus Mai sunt două opțiuni ascunse.

După ce v-ați decis cu privire la opțiunile de recuperare, faceți clic Mai departe, apoi, în ultima fereastră a expertului, faceți clic pe butonul Gata. Windows 7 vă va avertiza că toate datele vor fi șterse din partiție și vor începe procesul de recuperare.

Dacă nu aveți un disc de instalare Windows 7, asigurați-vă că ați creat un disc de reparare a sistemului. Acest disc vă va permite să restaurați o imagine de rezervă a sistemului chiar dacă partiția de serviciu Windows RE de pe hard disk este deteriorată.

Nu există multe modalități de a recupera fișierele criptate de un atac ransomware fără a plăti o răscumpărare pentru ele. Dacă avem noroc, este posibil să existe câteva instrumente gratuite pentru a le recupera, dar o opțiune mai realistă este restaurarea fișierelor din copiile de rezervă. Cu toate acestea, nu toată lumea are copii de rezervă ale fișierelor lor, deși Windows oferă o caracteristică foarte utilă cunoscută sub numele de Shadow Copy, care, pe scurt, este o copie de rezervă a fișierelor dvs. Criminalii cibernetici știu despre asta de mult timp și, prin urmare, la câteva luni după ce atacurile ransomware au devenit populare, primul lucru pe care îl fac atunci când vă infectează computerul este să șterge copia umbră a fișierelor înainte de a începe să vă cripteze informațiile.

Există o serie de tehnologii care pot fi folosite pentru a opri atacurile ransomware: unele sunt aproape inutile, cum ar fi semnăturile sau euristicile (acestea sunt primele lucruri pe care autorii de programe malware le verifică înainte de a le lansa), altele pot fi uneori mai eficiente, dar chiar și o combinație. Toate aceste tehnici nu garantează că vei fi protejat de toate astfel de atacuri.

Cu mai bine de 2 ani în urmă, laboratorul de antivirus PandaLabs a folosit o abordare simplă, dar destul de eficientă: dacă un proces încearcă să ștergă copii umbră, atunci cel mai probabil (dar nu întotdeauna, apropo), avem de-a face cu un program rău intenționat, și majoritatea probabil cu criptograf În zilele noastre, majoritatea familiilor de ransomware elimină copiile umbre, deoarece dacă nu o faci, oamenii nu vor plăti răscumpărarea când își pot recupera fișierele gratuit. Să ne uităm la câte infecții au fost oprite în laboratorul nostru datorită acestei abordări. Este logic să presupunem că acest număr ar trebui să crească exponențial, deoarece Numărul de atacuri ransomware care utilizează această tehnică crește, de asemenea, rapid. De exemplu, iată numărul de atacuri pe care le-am blocat în ultimele 12 luni folosind abordarea noastră:

Dar în diagramă vedem exact opusul a ceea ce ne așteptam. Cum este posibil acest lucru? De fapt, există o explicație foarte simplă pentru acest „fenomen”: folosim această abordare ca „ultimă soluție” atunci când nicio altă metodă de securitate nu ar putea detecta ceva suspect și, prin urmare, este declanșată această regulă, care blochează atacul ransomware. De asemenea, folosim această abordare în scopuri interne, în urma căreia putem analiza mai detaliat acele atacuri care au fost blocate la „ultima linie”, și apoi îmbunătățim toate nivelurile de securitate anterioare. De asemenea, folosim această abordare pentru a evalua cât de bine sau de prost oprim ransomware-ul: cu alte cuvinte, cu cât valorile sunt mai mici, cu atât mai bine performează tehnologiile noastre de bază. Deci, după cum puteți vedea, eficiența muncii noastre crește.

Articol original.

Sper că creați copii umbră ale întregului disc, nu pe același disc cu sistemul, pentru a le vizualiza?

De obicei, aceste copii nu pot fi vizualizate, ca și fișierele arhivate, dar este clar că spațiul este ocupat.

Spațiul pentru stocarea copiilor umbre este alocat separat pe volumele de lucru și pe un disc de rezervă pentru o copie completă a sistemului. Spațiul utilizat, alocat și maxim pentru copii shadow poate fi verificat rulând următoarea comandă dintr-un prompt de comandă ridicat:

Lista VSSAdmin ShadowStorage

Spațiu folosit - spațiul ocupat în prezent de copii umbră; alocat - spațiu rezervat pentru copii umbră (și nu este folosit pentru alte sarcini); maxim - pragul superior dincolo de care volumul de copii umbră nu poate crește.

Alocarea spațiului pentru copii shadow este automată și, prin urmare, nu poate fi setată de utilizator. Spațiul nou este alocat în bucăți fixe pe măsură ce spațiul alocat anterior este ocupat. Din acest motiv, valoarea raportată pentru spațiul folosit este întotdeauna mai mică decât spațiul alocat.

Pentru volumele de lucru, spațiul de stocare maxim permis pentru copiile umbră este determinat atunci când este creată prima copie umbră — de obicei când activați pentru prima dată Restaurarea sistemului și creați un punct de restaurare în timpul instalării. Valoarea este setată la 30% din spațiul liber sau 15% din dimensiunea totală a volumului - oricare dintre acestea este mai mică. Această dimensiune maximă este statică. Nu se modifică atunci când spațiul liber crește sau scade sau când se modifică dimensiunea volumului.

Cu toate acestea, puteți ajusta manual dimensiunea utilizând instrumentul VSSAdmin dintr-un prompt de comandă ridicat. De exemplu, pentru a crește spațiul de stocare maxim pe unitatea C:\ la 15 GB, ar trebui să rulați următoarea comandă:

VSSAdmin Redimensionează ShadowStorage /Pentru=C: /On=C: /MaxSize=15GB

Această caracteristică a apărut pentru prima dată pe Windows Server®, unde copiile umbre ale unui anumit volum puteau fi păstrate pe alt volum. În Windows Vista, copiile umbra ale volumului sunt stocate pe același volum. Prin urmare, volumul care se copiază și volumul pe care se află copiile trebuie să fie același.

Pe de altă parte, cantitatea de spațiu de stocare pentru copiile umbre de pe discul de destinație al unei copii de rezervă complete a computerului este fixată la 30% din spațiul total pe disc. Această valoare este controlată de programul de backup al computerului și nu poate fi modificată manual. Acest spațiu de stocare pentru copii umbra este folosit pentru a stoca copii incrementale create de Full Computer Backup.

Până la 64 de copii umbră pot locui pe un volum simultan, dacă există suficient spațiu pentru ele în zona de stocare a copierii umbre. Odată ce limita maximă de capacitate este atinsă, copiile umbră mai vechi sunt șterse pentru a face loc celor mai noi. Prin urmare, vechile puncte de restaurare pentru System Restore sunt șterse atunci când limita de stocare a volumului de lucru este atinsă, iar vechile copii de rezervă create de CompletePC Backups sunt șterse când discul de rezervă atinge această limită. În plus, stocarea și editarea altor date pe un disc de rezervă poate interfera cu procesul normal de îmbătrânire a copiilor de rezervă, determinând ștergerea lor mai rapidă.

Nu-l căuta pe Dumnezeu, nici într-o piatră, nici într-un templu - caută-L pe Dumnezeu în tine. Lasă căutătorul să găsească.