Pozdravljeni prijatelji! Tako sem spet prišel do svinčnika in papirja. Natančneje, na prenosni računalnik in virtualni stroj. Danes želim govoriti o tako zelo zanimivem in uporabnem pojavu, kot je prejšnje različice datotek oz Senčne kopije sistema Windows.

V praksi pokažimo, kako delati s senčnimi kopijami.

Kako obnoviti izbrisane datoteke iz senčnih kopij sistema Windows

Tukaj imamo namizje Windows. Na njem sta dve mapi: screen in zip, ki ju bomo izbrisali in obnovili. Tretja mapa je ShadowExplorer - program, s katerim bom delal s senčnimi kopijami. Jaz sem program, vzemi ga in uporabljaj! Torej, ker prejšnje različice datotek (senčne kopije) uporabljajo obnovitvene kontrolne točke, bomo morali ustvariti vsaj eno točko. Če želite to narediti, pojdite v lastnosti sistema, na zavihek »Zaščita sistema«. Za nas je pomembno, da imajo nastavitve zaščite način »Omogočeno«, v nastavitvah lahko nastavite tudi rezerviran prostor na disku kot odstotek za te kontrolne točke in tudi takoj ustvarite obnovitveno točko (gumb »Ustvari«)

Kliknite »Ustvari« in vnesite ime nadzorne točke:

Postopek ustvarjanja kontrolne točke ( dalje – CT) traja nekaj časa.

Seveda se lahko zatečete k programom za obnovitev podatkov, še posebej, ker je bil predmet pred kratkim izbrisan in obstaja možnost, da ga obnovite. Kaj pa, če temu ni tako? Kaj pa, če programi za obnovitev podatkov ne dajo želenih rezultatov?

Podatki iz " senčne kopije“. Zaženimo program ShadowExplorer. V glavnem oknu bomo videli spustne sezname - v prvem - disk, na katerem so ustvarjene senčne kopije, v drugem - datum ustvarjanja posnetka sistema.

Ker imamo eno samo kopijo posnetka sistema, kot je logična particija, se bodo podatki, ki jih potrebujemo, odprli. V drevesu imenikov razširite želeni imenik in preverite, ali so naši zdaj izbrisani imeniki še vedno tam! Z desno miškino tipko kliknite želeni imenik in kliknite »Izvozi«.
In zdaj je objekt obnovljen! Seveda to ni univerzalna metoda, vendar je kljub temu precej izvedljiva in uporabna.

Kje so shranjene senčne kopije sistema Windows?

Senčne kopije sistema Windows so shranjene v mapi » Informacije o sistemski glasnosti«, v datotekah z imeni, ki so videti kot (GUID)(GUID2), Kje (GUID)– identifikator kopije, (GUID2)– identifikator razdelka.

Delo s senčnimi kopijami z uporabo shadowcopyview

Nirsoft ima odlično orodje, ki vam omogoča zelo priročno delo s senčnimi kopijami. Ime tega programa je ShadowCopyView. Prilagam ga tudi članku; če želite, lahko trenutno različico prenesete s spletnega mesta razvijalcev - je brezplačna.

Glavno okno prikazuje senčne kopije (na vrhu) in njihovo vsebino spodaj. Obstaja tudi element kontekstnega menija " Kopiraj izbrane datoteke v ...«, ki vam omogoča ekstrahiranje vsebine iz senčne kopije.

Delo s senčnimi kopijami iz ukazne vrstice

Toda kaj storiti, če pri roki nimate nobenega orodja? Ni problema, nosilec senčne kopije lahko namestite z ukazno vrstico in odprete senčno kopijo kot imenik v Raziskovalcu.

Najprej moramo pridobiti seznam senčnih kopij:

Vse senčne kopije bodo prikazane v podobni obliki. Tu nas zanimata datum ustvarjanja in polje »Obseg senčne kopije«. Kopirajmo to vrstico in ustvarimo simbolično povezavo do tega imenika:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Pozor! Poševnica na koncu je obvezna; Posnel sem posnetek zaslona brez poševnice in nisem mogel vstopiti v imenik. Ukaz mklink ustvari povezavo C:\old do imenika (ključ /D) varnostne kopije.

Poglejmo, kako je videti v Raziskovalcu:

Toda to sploh ne pomeni, da imamo zdaj na disku zapisanih 2-krat več informacij. Te informacije so označene kot proste, vendar ne bodo prepisane, dokler ne bo izčrpan prosti prostor, dodeljen med fazo nastavitve varnostne storitve. Ne pozabite, tam smo navedli, kolikšen odstotek diska je treba dodeliti za varnostne kopije. Senčne kopije spremenjenih datotek bodo prepisane šele, ko bo izčrpan ves preostali prostor.

prijatelji! Pridružite se nam

Prejšnji članek je govoril o zmožnostih varnostnega kopiranja sistema Windows 7 - ustvarjanje arhivov datotek in slik diskov. Ta članek je namenjen obnovitvi datotek iz arhiva in sistema s slike diska ter obnovitvi prejšnjih različic datotek.

Na tej strani:

Obnovitev datotek iz arhiva

V operacijskem sistemu Windows 7 lahko obnovite datoteke iz arhiva z elementom nadzorne plošče.

V glavnem oknu elementa nadzorne plošče so tri možnosti za obnovitev datotek:

• Obnovi moje datoteke- omogoča izbiro posameznih datotek in map za obnovitev.
• Obnovite datoteke vseh uporabnikov- omogoča tudi izbiro posameznih datotek in map, vendar za vse uporabnike računalnika.
• Izberite drugo varnostno kopijo za obnovitev datotek- omogoča obnovitev datotek vseh uporabnikov, pa tudi izbiro arhiva, ki se nahaja na omrežnem pogonu.

Spodaj obravnavamo obnovitev "mojih" datotek. Prvo okno čarovnika za obnovitev datotek je polno možnosti, zato pojdimo po vrsti.

Izbira datuma arhiviranja. Privzeto se uporablja najnovejši arhiv, ki ga sistem sporoči v oknu. Izberete lahko zgodnejši datum – na primer, če potrebujete starejšo kopijo datoteke.

Vmesnik je videti narejen za zelo pogosto arhiviranje - privzeto se prikažejo arhivi za zadnji teden (po mojem mnenju je bolj smiselno takoj prikazati arhive za mesec), lahko pa seveda izberete starejše.

Iskanje datotek. To je zelo priročno orodje, ki vam omogoča takojšnje iskanje datotek, ki jih potrebujete v arhivu.

Upoštevajte, da okno uporablja vmesnik raziskovalca, tj. v rezultatih iskanja lahko izberete želene stolpce lastnosti datoteke in jih razvrstite (vendar ni združevanja).

Dodajanje datotek in map. Skupaj z iskanjem je mogoče dodati posamezne datoteke in mape - vsako dejanje ima svoj gumb.

Seznam datotek, ki jih je mogoče obnoviti. Prikažejo se imena dodanih map in posameznih datotek.

Odstranjevanje datotek in map s seznama. Datoteke in mape se izbrišejo samo s seznama tistih, ki jih je mogoče obnoviti, ne pa tudi iz arhiva.

Nadaljujte z izbiro cilja za obnovljene datoteke. Datoteke lahko obnovite:

• na prvotno lokacijo. V tem primeru, če obstaja datoteka z enakim imenom, bo sistem prikazal standardno pogovorno okno, v katerem vas bo pozval, da prepišete datoteko, shranite obe kopiji v mapo ali zavrnete kopiranje.
• na lokacijo, ki ste jo navedli. V tem primeru je mogoče obnoviti datoteke ob ohranitvi strukture map, začenši s korenom arhiva (označeno na sliki).

Ko se odločite za končno lokacijo datotek, ki jih želite obnoviti, kliknite gumb Obnovi.

Obnovitev prejšnjih različic datotek in map

Predstavljajte si, da ste med delom z dokumentom izbrisali del dokumenta, shranili datoteko in zaprli aplikacijo. In potem so se nenadoma spomnili, da so izbrisali nekaj zelo pomembnega. Ali pa si predstavljajte, da ste izbrisali datoteko mimo koša za smeti in jo čez mesec dni res potrebujete. V obeh primerih imate dobre možnosti, da prejšnje različice datotek, ki jih lahko shranite v Windows 7, obnovite na dva načina:

• arhivi datotek, ustvarjeni s programom Windows Backup
• senčne kopije, ki jih ustvari System Protection s storitvijo Volume Shadow Copy Service

Do obnovitve prejšnjih različic lahko dostopate iz lastnosti datoteke ali mape na zavihku Prejšnje različice.

Obnovitev prejšnjih različic datotek iz arhivov

Če je datoteka vključena v arhiv z orodji za varnostno kopiranje Windows, v njenih lastnostih na zavihku Prejšnje različice Arhiviranje.

Če pri obnavljanju datoteke sistem zazna, da datoteka z istim imenom že obstaja, boste pozvani, da prepišete obstoječo datoteko, jo shranite z drugim imenom ali zavrnete obnovitev.

Seveda lahko isto datoteko obnovite z nadzorne plošče, vendar je to iz lastnosti datoteke morda bolj priročno in hitrejše.

Obnovitev prejšnjih različic datotek in map iz senčnih kopij

Da lahko obnovimo datoteke in mape iz senčnih kopij, mora delovati sistemska zaščita, ki je vklopljena za vsak disk posebej. Morda ni preveč očitno, vendar nastavitve zaščite sistema nadzirajo delovanje in količino prostora na disku za storitev Volume Copy Shadow Copy, ki zagotavlja shranjevanje sistemskih obnovitvenih točk in senčnih kopij datotek in map.

Senčne kopije niso shranjene za nedoločen čas. Dodeljen jim je določen odstotek prostora na disku, in ko je dosežena določena meja, se stare kopije zamenjajo z novimi. Ker govori o zaščiti in obnovitvi sistema, bom tukaj upošteval samo obnovitev prejšnjih različic.

Iz senčnih kopij lahko obnovite prejšnje različice:

• ločene datoteke
• mape datotek

Obnovitev posamezne datoteke iz senčne kopije je skoraj enaka obnovitvi datoteke iz arhiva. V zavihku lastnosti datoteke Prejšnje različice videli boste seznam različic in prikazana bo lokacija Obnovitvena točka.

Za razliko od datoteke, shranjene v arhivu, boste v tem primeru imeli možnost odpreti in kopirati datoteko v mapo po vaši izbiri.

Poleg posameznih datotek lahko obnovite mape iz senčnih kopij. Seznam različic si lahko ogledate v lastnostih mape na zavihku Prejšnje različice.

Mapo lahko odprete, kopirate na drugo mesto ali obnovite na staro lokacijo. Pri obnavljanju, tako kot pri datotekah iz arhivov, vas sistem opozori, če je v mapi datoteka z istim imenom.

Obnovitev izbrisanih datotek iz senčnih kopij

Če morate obnoviti prejšnjo kopijo obstoječe datoteke, pojdite na zavihek v lastnostih datoteke Prejšnje različice. Kaj storiti, če je datoteka izbrisana? Imate dva načina:

• obnovitev mape
• iskanje datotek

Iz senčne kopije lahko obnovite mapo, v kateri je bila datoteka, kot je opisano zgoraj. Če se ne spomnite natančne lokacije datoteke, vendar imate približno predstavo o tem, kje v drevesu map je bila, lahko obnovite nadrejeno mapo.

Preden pa obnovite mapo, lahko poskusite poiskati izbrisano datoteko z iskanjem Windows. Oglejmo si zaporedje dejanj na primeru. Izbrisal sem datoteko support_center01.png, in zdaj ga potrebujem. Vem, v kateri mapi je bila, in v njej poiščem datoteko (in če ne bi vedel točne lokacije, bi iskal v najbližji nadrejeni).

Senčne kopije niso indeksirane, izbrisana datoteka pa je takoj izključena iz indeksa, zato je iskanje ne najde. Zato morate s klikom iskati na neindeksiranih mestih Računalnik. Iskanje neindeksiranih datotek traja dlje, vendar bo vaša potrpežljivost poplačana.

V senčnih kopijah nisem našel samo datoteke PNG, ki sem jo potreboval, ampak tudi dolgo izbrisano datoteko BMP z istim imenom, na katero sem pozabil.

Zakaj morda manjkajo senčne kopije

Ko ste prebrali o prejšnjih različicah datotek, boste morda želeli preveriti, ali se ustvarjajo v vašem sistemu. Če niste našli nobene prejšnje različice, lahko to pomeni:

• zaščita sistema je onemogočena, tj. ni obnovitvenih točk, kjer so shranjene prejšnje različice sistemskih datotek
• Za zaščito sistema je dodeljenih malo prostora na disku, zato ni dovolj prostora za senčne kopije uporabniških datotek
• vsebina datoteke ali mape se ni spremenila - v tem primeru senčne kopije niso ustvarjene

Če povzamem zgodbo o obnovitvi datotek, želim poudariti, da so tehnologije Windows med seboj povezane. Najboljše možnosti za obnovitev datotek boste imeli, če boste skupaj z zaščito sistema uporabljali varnostno kopiranje sistema Windows. Te možnosti lahko povečate tako, da ustvarite varnostne kopije slik sistema, katerih obnovitev bo obravnavana spodaj.

Obnovitev sistema iz predhodno ustvarjene slike

Med namestitvijo sistema Windows 7 se na vašem trdem disku samodejno ustvari servisna particija, ki vsebuje Windows RE (obnovitveno okolje). S tem razdelkom lahko:

• zagon v obnovitveno okolje s trdega diska
• ustvarite disketo za popravilo sistema in se zaženite z nje

Z zagonom v obnovitvenem okolju lahko obnovite sistem iz vnaprej ustvarjene slike.

Pozor! Za podroben opis ustvarjanja diska za popravilo sistema, obnovitvenega okolja in možnosti zagona vanj glejte članek Uporaba obnovitvenega okolja Windows RE v sistemu Windows 7. Spodaj obravnavamo samo zagon sistema Windows RE s trdega diska.

Zagon v obnovitveno okolje s trdega diska

Za vstop v meni Dodatne možnosti prenosa, pritisnite F8 po vklopu računalnika, vendar pred nalaganjem operacijskega sistema.

Izberite prvi element menija - Odpravljanje težav z računalnikom in pritisnite Enter. Zagnalo se bo obnovitveno okolje Windows, kjer boste morali najprej izbrati razporeditev tipkovnice.

Izberite jezik, v katerem je nastavljeno geslo vašega skrbniškega računa, saj ga boste morali vnesti v naslednjem koraku.

Po vnosu gesla boste videli meni z možnostmi obnovitve, od katerih je ena Obnovitev slike sistema.

Obnovitev sistemske slike iz sistema Windows RE

Windows RE ponuja različna orodja za obnovitev sistema.

Izberete lahko tudi drugo sliko za obnovitev. Ko izberete sliko, kliknite gumb Nadalje za začetek postopka okrevanja.

Diske lahko formatirate in ustvarjate particije ter imate možnost, da diske izključite iz operacije formatiranja (disk, ki vsebuje arhivsko sliko, je samodejno izključen). Prav tako lahko preprosto obnovite sliko na obstoječo sistemsko particijo. Za gumbom Dodatno Skriti sta še dve možnosti.

Ko se odločite za možnosti obnovitve, kliknite Nadalje, nato pa v zadnjem oknu čarovnika kliknite gumb pripravljena. Windows 7 vas bo opozoril, da bodo vsi podatki izbrisani s particije, in začel postopek obnovitve.

Če nimate namestitvenega diska za Windows 7, ustvarite disk za popravilo sistema. Ta disk vam bo omogočil obnovitev sistemske varnostne kopije, tudi če je servisna particija Windows RE na vašem trdem disku poškodovana.

Ni veliko načinov za obnovitev datotek, šifriranih z napadom izsiljevalske programske opreme, ne da bi zanje plačali odkupnino. Če bomo imeli srečo, bo morda na voljo nekaj brezplačnih orodij za njihovo obnovitev, vendar je bolj realistična možnost obnovitev datotek iz varnostnih kopij. Vendar nimajo vsi varnostnih kopij svojih datotek, čeprav Windows ponuja zelo uporabno funkcijo, znano kot Shadow Copy, ki je na kratko varnostna kopija vaših datotek. Kibernetski kriminalci za to vedo že dolgo, zato nekaj mesecev po tem, ko so napadi z izsiljevalsko programsko opremo postali priljubljeni, prva stvar, ki jo naredijo, ko okužijo vaš računalnik, je, da izbrišejo senčno kopijo vaših datotek, preden začnejo šifrirati vaše podatke.

Obstaja več tehnologij, ki jih je mogoče uporabiti za zaustavitev napadov izsiljevalske programske opreme: nekatere so skoraj neuporabne, na primer podpisi ali hevristike (to so prve stvari, ki jih avtorji zlonamerne programske opreme preverijo, preden jih izdajo), druge so lahko včasih bolj učinkovite, a celo kombinacija Vse te tehnike ne zagotavljajo, da boste zaščiteni pred vsemi tovrstnimi napadi.

Pred več kot dvema letoma je protivirusni laboratorij PandaLabs uporabil preprost, a precej učinkovit pristop: če neki proces poskuša izbrisati senčne kopije, imamo najverjetneje (vendar ne vedno, mimogrede) opravka z zlonamernim programom in večina verjetno s kriptografom Dandanes večina družin izsiljevalskih programov odstrani senčne kopije, Ker če tega ne storite, ljudje ne bodo plačali odkupnine, ko lahko brezplačno obnovijo svoje datoteke. Poglejmo, koliko okužb smo ustavili v našem laboratoriju zahvaljujoč temu pristopu. Logično je domnevati, da bi moralo to število rasti eksponentno, ker Hitro narašča tudi število napadov z izsiljevalsko programsko opremo, ki uporabljajo to tehniko. Tukaj je na primer število napadov, ki smo jih z našim pristopom blokirali v zadnjih 12 mesecih:

Toda v diagramu vidimo ravno nasprotno od tega, kar smo pričakovali. Kako je to mogoče? Pravzaprav obstaja zelo preprosta razlaga za ta »fenomen«: ta pristop uporabljamo kot »zadnjo možnost«, ko nobena druga varnostna tehnika ne more zaznati ničesar sumljivega, zato se sproži to pravilo, ki blokira napad izsiljevalske programske opreme. Ta pristop uporabljamo tudi za interne namene, s čimer lahko podrobneje analiziramo tiste napade, ki so bili blokirani v »zadnji vrstici«, nato pa izboljšamo vse prejšnje varnostne nivoje. Ta pristop uporabljamo tudi za ocenjevanje, kako dobro ali slabo zaustavljamo izsiljevalsko programsko opremo: z drugimi besedami, nižje kot so vrednosti, bolje delujejo naše osnovne tehnologije. Torej, kot vidite, se učinkovitost našega dela povečuje.

Izvirni članek.

Upam, da ustvarjate senčne kopije celotnega diska, ne na istem disku kot sistem, da bi si jih ogledali?

Običajno teh kopij ni mogoče videti, tako kot arhiviranih datotek, vendar je jasno, da je prostor zaseden.

Prostor za shranjevanje senčnih kopij je ločeno dodeljen na delovnih nosilcih in na rezervnem disku za celotno kopijo sistema. Uporabljeni, dodeljeni in največji prostor za senčne kopije lahko preverite tako, da zaženete naslednji ukaz iz povišanega ukaznega poziva:

VSSAdmin seznam ShadowStorage

Uporabljen prostor - prostor, ki ga trenutno zasedajo senčne kopije; dodeljen - prostor, rezerviran za senčne kopije (in se ne uporablja za druga opravila); maksimum - zgornji prag, nad katerim obseg senčnih kopij ne more rasti.

Dodelitev prostora za senčne kopije je samodejna in je zato uporabnik ne more nastaviti. Nov prostor se dodeli v fiksnih kosih, ko je prej dodeljeni prostor zaseden. Zaradi tega je sporočena vrednost uporabljenega prostora vedno nižja od dodeljenega prostora.

Za delovne nosilce je največji dovoljeni prostor za shranjevanje senčnih kopij določen, ko je ustvarjena prva senčna kopija – običajno, ko prvič omogočite obnovitev sistema in med namestitvijo ustvarite obnovitveno točko. Vrednost je nastavljena na 30 % prostega prostora ali 15 % skupne velikosti nosilca – kar je manj. Ta največja velikost je statična. Ne spremeni se, ko se prosti prostor poveča ali zmanjša ali ko se spremeni velikost nosilca.

Vendar pa lahko ročno prilagodite velikost z orodjem VSSAdmin iz povišanega ukaznega poziva. Na primer, če želite povečati največji prostor za shranjevanje na pogonu C:\ na 15 GB, bi zagnali naslednji ukaz:

VSSAdmin Spremeni velikost ShadowStorage /For=C: /On=C: /MaxSize=15GB

Ta funkcija se je prvič pojavila v sistemu Windows Server®, kjer je bilo mogoče senčne kopije določenega nosilca hraniti na drugem nosilcu. V sistemu Windows Vista so senčne kopije nosilca shranjene na istem nosilcu. Zato morata biti nosilec, ki se kopira, in nosilec, na katerem so kopije, enaka.

Po drugi strani pa je količina prostora za shranjevanje senčnih kopij na ciljnem disku popolne varnostne kopije računalnika določena na 30 % celotnega prostora na disku. To vrednost nadzira računalniški program za varnostno kopiranje in je ni mogoče spremeniti ročno. Ta prostor za shranjevanje senčnih kopij se uporablja za shranjevanje inkrementalnih kopij, ustvarjenih s popolno varnostno kopijo računalnika.

Na nosilcu je lahko hkrati do 64 senčnih kopij, če je v območju za shranjevanje senčnih kopij dovolj prostora zanje. Ko je dosežena največja omejitev zmogljivosti, se starejše senčne kopije izbrišejo, da se naredi prostor za novejše. Zato se stare obnovitvene točke za obnovitev sistema izbrišejo, ko je dosežena omejitev prostora za shranjevanje delovnega nosilca, stare varnostne kopije, ki jih ustvari CompletePC Backups, pa se izbrišejo, ko disk za varnostno kopiranje doseže to omejitev. Poleg tega lahko shranjevanje in urejanje drugih podatkov na disku z varnostnimi kopijami moti normalen proces staranja varnostnih kopij, kar povzroči njihovo hitrejše brisanje.

Ne iščite Boga, ne v kamnu, ne v templju - iščite Boga v sebi. Naj iskalec najde.