Meniul
AcasăAndroid

Lucrul cu copii umbre ale Windows. Versiunile anterioare ale fișierelor. Recuperarea fișierelor din copii shadow Windows

Nu este întotdeauna necesar să instalați programe terțe suplimentare în Windows 7 pentru a recupera datele șterse sau datele care au fost suprascrise. Seven vă permite să faceți acest lucru folosind propriile mijloace. Dacă ați șters sau suprascris neglijent fișiere, să spunem documente Microsoft Office sau fotografii de familie și doriți să le restaurați sau să le readuceți la starea inițială, atunci nu vă grăbiți să instalați software special pentru această procedură.

Recuperarea datelor din Windows 7 este posibilă folosind sistemul în sine; pentru aceasta, dezvoltatorii Microsoft au adăugat un instrument convenabil și ușor de utilizat acestei versiuni a sistemului de operare - copiile umbra de volum (VVS pe scurt). Folosind copii umbre, puteți rapid, cu doar câteva clicuri de mouse, să reînviați fișierele șterse sau suprascrise stocate pe hard diskul computerului.

Nu confundați copiile umbra cu o copie de rezervă completă a Windows 7. Acest instrument nu înlocuiește o copie de rezervă completă, ci pur și simplu stochează duplicatele acelor fișiere care au fost modificate sau șterse. În „șapte” acest instrument funcționează pe principiul punctelor de recuperare. Probabil că știți cu toții despre aceste puncte, cu ajutorul cărora puteți face înapoi sistemul la un anumit punct. Deci, funcția VVS creează copii umbră ale datelor, de exemplu, înainte de a actualiza sistemul de operare. Acesta este un instrument de recuperare a datelor Windows 7 foarte util, dar numai dacă ați șters și ați suprascris accidental fișiere. Serviciul Volum Shadow Copy poate restaura până la șaizeci și patru de copii anterioare ale fiecărui fișier șters sau modificat.

Recuperarea fișierelor utilizând copii umbră ale Windows 7

Pentru a începe restaurarea fișierelor din copii umbra, urmați acești pași: Faceți clic dreapta pe fișierul sau directorul dorit în care se află datele de recuperat. Apoi, în meniul contextual care se deschide, selectați „Proprietăți”, apoi accesați fila „Versiuni anterioare”. Dacă există copii shadow pentru un fișier sau folder pe sistem, veți vedea o listă a acestora. Din păcate, nu am putut găsi copii umbra ale fișierelor în sistemul nostru, deoarece este practic proaspăt, adică instalat special pentru site.

Pentru a restabili un fișier din copia dorită, pur și simplu faceți dublu clic pe el cu butonul stâng al mouse-ului și va fi restaurat.

Este de remarcat faptul că utilizatorul poate personaliza acest instrument. De exemplu, puteți determina unde sunt stocate copiile umbra ale fișierelor pe hard disk. În plus, apăsând combinația de taste „Win+Pause” și mergând la secțiunea „System Protection”, îi poți spune lui Windows 7 să protejeze discurile sau partițiile hard diskului și să determine pentru fiecare dintre ele cantitatea de memorie pe care sistemul de operare o poate folosi pentru aceasta.

Nu există multe modalități de a recupera fișierele criptate de un atac ransomware fără a plăti o răscumpărare pentru ele. Dacă avem noroc, este posibil să existe câteva instrumente gratuite pentru a le recupera, dar o opțiune mai realistă este restaurarea fișierelor din copiile de rezervă. Cu toate acestea, nu toată lumea are copii de rezervă ale fișierelor lor, deși Windows oferă o funcție foarte utilă cunoscută sub numele de Shadow Copy, care, pe scurt, este o copie de rezervă a fișierelor dvs. Criminalii cibernetici știu despre asta de mult timp și, prin urmare, la câteva luni după ce atacurile ransomware au devenit populare, primul lucru pe care îl fac atunci când vă infectează computerul este să ștergeți copia umbră a fișierelor înainte de a începe să vă cripteze informațiile.

Există o serie de tehnologii care pot fi folosite pentru a opri atacurile ransomware: unele sunt aproape inutile, cum ar fi semnăturile sau euristica (acestea sunt primele lucruri pe care autorii de programe malware le verifică înainte de a le lansa), altele pot fi uneori mai eficiente, dar chiar și o combinație. Toate aceste tehnici nu garantează că veți fi protejat de toate astfel de atacuri.

Cu mai bine de 2 ani în urmă, laboratorul de antivirus PandaLabs a folosit o abordare simplă, dar destul de eficientă: dacă un proces încearcă să ștergă copii umbră, atunci cel mai probabil (dar nu întotdeauna, apropo), avem de-a face cu un program rău intenționat și majoritatea probabil cu criptograful În zilele noastre, majoritatea familiilor de ransomware elimină copiile umbre, deoarece dacă nu o faci, oamenii nu vor plăti răscumpărarea atunci când își pot recupera fișierele gratuit. Să ne uităm la câte infecții au fost oprite în laboratorul nostru datorită acestei abordări. Este logic să presupunem că acest număr ar trebui să crească exponențial, deoarece Numărul de atacuri ransomware care utilizează această tehnică crește, de asemenea, rapid. De exemplu, iată numărul de atacuri pe care le-am blocat în ultimele 12 luni folosind abordarea noastră:

Dar în diagramă vedem exact opusul a ceea ce ne așteptam. Cum este posibil acest lucru? De fapt, există o explicație foarte simplă pentru acest „fenomen”: folosim această abordare ca „ultimă soluție” atunci când nicio altă metodă de securitate nu ar putea detecta ceva suspect și, prin urmare, este declanșată această regulă, care blochează atacul ransomware. Folosim această abordare și în scopuri interne, în urma căreia putem analiza mai detaliat acele atacuri care au fost blocate la „ultima linie”, și apoi îmbunătățim toate nivelurile de securitate anterioare. De asemenea, folosim această abordare pentru a evalua cât de bine sau de prost oprim ransomware-ul: cu alte cuvinte, cu cât valorile sunt mai mici, cu atât mai bine performează tehnologiile noastre de bază. Deci, după cum puteți vedea, eficiența muncii noastre crește.

Articol original.

Bună prieteni! Așa că am ajuns din nou la creion și hârtie. Mai exact, la un laptop și o mașină virtuală. Astăzi vreau să vorbesc despre un fenomen atât de interesant și util ca versiunile anterioare ale fișierelor sau Copii umbra Windows.

Să demonstrăm în practică cum să lucrați cu copii umbra.

Cum să recuperați fișierele șterse din copii shadow Windows

Aici avem un desktop Windows. Există două foldere pe el: screen și zip, pe care le vom șterge și restaura. Al treilea folder este ShadowExplorer - programul cu care voi lucra cu copii umbre. Eu sunt programul, ia-l și folosește-l! Deci, deoarece versiunile anterioare ale fișierelor (copii umbra) folosesc puncte de control de recuperare, va trebui să creăm cel puțin un punct. Pentru a face acest lucru, accesați proprietățile sistemului, la fila „Protecția sistemului”. Este important pentru noi ca setările de protecție să aibă modul „Activat”, în setări puteți seta și spațiul rezervat pe disc ca procent pentru aceste puncte de control și, de asemenea, să creați instantaneu un punct de recuperare (butonul „Creare”)

Faceți clic pe „Creați” și introduceți numele punctului de control:

Procesul de creare a unui punct de control ( mai departe – CT) durează ceva timp.

Desigur, puteți apela la programe de recuperare a datelor, mai ales că obiectul a fost șters foarte recent și există posibilitatea de a-l restaura. Dar dacă nu este cazul? Ce se întâmplă dacă programele de recuperare de date nu dau rezultatele dorite?

Date de la „ copii umbră„. Să lansăm programul ShadowExplorer. Vom vedea liste derulante în fereastra principală - în prima - discul pe care sunt create copiile umbră, în a doua - data creării instantaneului de sistem.

Deoarece avem o singură copie a instantaneului de sistem, cum ar fi partiția logică, se vor deschide exact datele de care avem nevoie. În arborele de directoare, extindeți directorul dorit și vedeți că directoarele noastre acum șterse sunt încă acolo! Faceți clic dreapta pe directorul dorit și faceți clic pe „Export”.
Și acum, obiectul a fost restaurat! Desigur, aceasta nu este o metodă universală, dar, cu toate acestea, este destul de viabilă și utilă.

Unde sunt stocate Windows Shadow Copies?

Copiile Shadow ale Windows sunt stocate în „ Informații despre volumul sistemului„, în fișiere cu nume care arată ca (GUID)(GUID2), Unde (GUID)- identificatorul copiei, (GUID2)– identificatorul secțiunii.

Lucrul cu copii shadow folosind shadowcopyview

Nirsoft are un instrument excelent care vă permite să lucrați cu copii umbre destul de convenabil. Numele acestui program este ShadowCopyView. De asemenea, îl atașez articolului; dacă doriți, puteți descărca versiunea actuală de pe site-ul dezvoltatorilor - este gratuit.

Fereastra principală afișează copii umbră (în partea de sus) și conținutul acestora dedesubt. Există, de asemenea, un element de meniu contextual „ Copiați fișierele selectate în...„, care vă permite să extrageți conținut din copia umbră.

Lucrul cu copii umbre din linia de comandă

Dar ce să faci dacă nu ai unelte la îndemână? Nicio problemă, puteți monta volumul de copiere umbră folosind linia de comandă și puteți deschide copia umbră ca director în Explorer.

În primul rând, trebuie să obținem o listă de copii umbră:

Toate copiile umbră vor fi afișate într-o formă similară. Aici ne interesează data creării și câmpul „Shadow copy volume”. Să copiem această linie și să creăm o legătură simbolică către acest director:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Atenţie! Bara oblică de la sfârșit este necesară; am făcut captura de ecran fără bară oblică și nu am putut intra în director. Comanda mklink creează o legătură C:\old către directorul (cheia /D) al copiei de rezervă.

Să vedem cum arată în Explorer:

Dar asta nu înseamnă deloc că acum avem de 2 ori mai multe informații înregistrate pe disc. Aceste informații sunt marcate ca libere, dar nu vor fi suprascrise până când spațiul liber alocat în timpul fazei de configurare a serviciului de rezervă este epuizat. Amintiți-vă, am indicat acolo ce procent din disc să aloce pentru copii de rezervă. Numai după ce tot spațiul rămas este epuizat, copiile umbră ale fișierelor modificate vor fi suprascrise.

Prieteni! Alăturați-vă noastre

Serviciul de copiere umbra a volumului (VSS) stochează puncte de recuperare și acceptă backup și recuperare a fișierelor folosind un mecanism de instantanee numit copii umbre. VSS creează copii statice ale fișierelor și aplicațiilor deschise, care altfel sunt prea volatile pentru a fi copiate de rezervă.

Sună convingător, dar VSS ocupă mult spațiu pe disc. Pentru a începe, utilizați comanda „vssadmin” pentru a vedea cât spațiu ocupă copiile umbra ale volumului curent cu comanda „vssadmin list shadowstorage”. (Pentru mai multe informații, faceți clic pe butonul „Start”, tastați cmd în bara de căutare, apoi tastați vssadmin /? pentru ajutor.)

În captura de ecran de mai jos, punctele de recuperare pentru unitățile C: și D sunt activate; Există și copii shadow pe aceleași discuri. Să vedem cât spațiu pe disc este irosit pe copiile shadow ale acestor unități: 22.079 GB pe unitatea D: (volum total: 149 GB; volumul ocupat de copiile shadow = 15.5%) și 64.448 GB pe unitatea C: (volumul total: 465 GB ; volum ocupat de copii umbră = 14,9%).

La un moment dat, am găsit doar 230 GB de spațiu liber pe unitatea C: de 465 GB, deși știam sigur că conține doar 120 GB de fișiere. Căutarea celor 115 GB lipsă ne-a condus la Serviciul de copiere umbra a volumului. Am folosit din nou comanda „vssadmin list shadows” (nu am afișat rezultatul aici pentru că este foarte lung: listează toate copiile umbre de pe disc) și am aflat că una dintre copiile umbre ocupă 85 GB! Deoarece copiam recent o colecție mare de fișiere muzicale de pe o veche unitate USB de 200 GB pe noua noastră unitate SATA mai rapidă, se pare că VSS a creat o copie umbră a acelor fișiere în același timp le-a copiat într-un folder accesibil utilizatorului.

Cum să scapi de această copie umbră inutilă? Implicit, Vista alocă 15% din spațiul de pe disc copiilor umbră, dar sistemul de operare nu limitează strict dimensiunea totală a copiilor umbre. Dacă copia umbră are nevoie de mai mult spațiu, Vista o va oferi cu plăcere. Folosind utilitarul de linie de comandă vssadmin, puteți seta o limită liberă de spațiu pe disc pentru copiile umbre. Iată cum să o faci:

Vssadmin redimensionează shadowstorage /For=T: /On=T: /MaxSize=Num

În loc de litera „T”, înlocuiți numele discului și înlocuiți „Număr” cu un număr egal cu 15% din capacitatea acestui disc. În cazul unității noastre C:, această comandă va arăta astfel:

Vssadmin redimensionează shadowstorage /Pentru=C: /On=C: /Maxsize=69GB

Înainte de a utiliza acest truc, faceți o copie de rezervă a sistemului și creați un punct de restaurare imediat după repornirea sistemului. După rularea comenzii de mai sus, Vista șterge automat mai întâi cele mai vechi puncte de restaurare până când atinge limita pe care o setați.

Articolul anterior a vorbit despre capacitățile de backup ale Windows 7 - crearea de arhive de fișiere și imagini de disc. Acest articol este dedicat restaurării fișierelor dintr-o arhivă și sistem dintr-o imagine de disc, precum și restaurării versiunilor anterioare ale fișierelor.

Pe aceasta pagina:

Recuperarea fișierelor dintr-o arhivă

În Windows 7, puteți restaura fișiere dintr-o arhivă folosind elementul Panoul de control.

În fereastra principală a elementului Panoul de control, există trei opțiuni de recuperare a fișierelor:

  • Recuperează fișierele mele- vă permite să selectați fișiere și foldere individuale pentru recuperare.
  • Recuperați fișierele tuturor utilizatorilor- vă permite de asemenea să selectați fișiere și foldere individuale, dar pentru toți utilizatorii de computer.
  • Selectați o altă copie de rezervă pentru a restaura fișierele- vă permite să restaurați fișierele tuturor utilizatorilor, precum și să selectați o arhivă situată pe o unitate de rețea.

Mai jos discutăm despre recuperarea fișierelor „mei”. Prima fereastră a Expertului de recuperare a fișierelor este plină de opțiuni, așa că să mergem în ordine.

Selectarea datei arhivei. În mod implicit, se utilizează cea mai recentă arhivă, pe care sistemul o raportează în fereastră. Puteți alege o dată anterioară - de exemplu, dacă aveți nevoie de o copie mai veche a fișierului.

Interfața pare a fi concepută pentru arhivare foarte frecventă - implicit sunt afișate arhivele din ultima săptămână (după părerea mea, are mai mult sens să afișați imediat arhivele pentru luna), dar le puteți selecta pe cele mai vechi, desigur.

Cauta fișiere. Acesta este un instrument foarte convenabil care vă permite să găsiți instantaneu fișierele de care aveți nevoie în arhivă.

Vă rugăm să rețineți că fereastra folosește o interfață de explorare, adică în rezultatele căutării puteți selecta coloanele dorite de proprietăți ale fișierului și puteți sorta după ele (cu toate acestea, nu există nicio grupare).

Adăugarea de fișiere și foldere. Odată cu căutarea, este posibil să adăugați fișiere și foldere individuale - fiecare acțiune are propriul buton.

Lista fișierelor recuperabile. Sunt afișate numele folderelor adăugate și ale fișierelor individuale.

Eliminarea fișierelor și folderelor din listă. Fișierele și folderele sunt șterse doar din lista celor recuperabile, dar nu și din arhivă.

Continuați cu selectarea destinației pentru fișierele restaurate. Puteți recupera fișiere:

  • la locația inițială. În acest caz, dacă există un fișier cu același nume, sistemul va afișa un dialog standard care vă va cere să suprascrieți fișierul, să salvați ambele copii într-un folder sau să refuzați copierea.
  • la locația specificată de tine. În acest caz, este posibilă restaurarea fișierelor menținând structura folderelor, pornind de la rădăcina arhivei (evidențiată în figură).

După ce ați decis locația finală a fișierelor de restaurat, faceți clic pe butonul Restabili.

Restaurarea versiunilor anterioare ale fișierelor și folderelor

Imaginați-vă că în timp ce lucrați cu un document, ați șters o parte a acestuia, ați salvat fișierul și ați închis aplicația. Și apoi și-au amintit brusc că au șters ceva foarte important. Sau imaginați-vă că ați șters un fișier din coșul de gunoi și, o lună mai târziu, ați avut mare nevoie de el. În ambele cazuri, aveți șanse mari să restaurați versiunile anterioare ale fișierelor care pot fi salvate în Windows 7 în două moduri:

  • arhive de fișiere create folosind Windows Backup
  • copii shadow create de System Protection utilizând Serviciul de copiere umbră volum

Restaurarea versiunilor anterioare este accesată din proprietățile fișierului sau folderului din filă Versiuni anterioare.

Restaurarea versiunilor anterioare ale fișierelor din arhive

Dacă fișierul este inclus în arhivă folosind instrumente de backup Windows, în proprietățile sale din filă Versiuni anterioare Arhivare.

Dacă, la restaurarea unui fișier, sistemul detectează că un fișier cu același nume există deja, vi se va solicita să suprascrieți fișierul existent, să-l salvați cu un alt nume sau să refuzați recuperarea.

Desigur, același fișier poate fi restaurat din panoul de control, dar a face acest lucru din proprietățile fișierului poate fi mai convenabil și mai rapid.

Recuperarea versiunilor anterioare de fișiere și foldere din copii umbre

Pentru a putea restaura fișierele și folderele din copiile umbre, protecția sistemului trebuie să funcționeze, care este activată pentru fiecare disc separat. Poate că nu este prea evident, dar setările de protecție a sistemului controlează funcționarea și cantitatea de spațiu pe disc pentru serviciul Volume Copy Shadow Copy, care oferă spațiu de stocare pentru punctele de restaurare a sistemului și copii shadow ale fișierelor și folderelor.

Copiile Shadow nu sunt stocate la infinit. Li se alocă un anumit procent din spațiu pe disc, iar când se atinge limita specificată, copiile vechi sunt înlocuite cu altele noi. Deoarece se vorbește despre protecția și recuperarea sistemului, aici voi lua în considerare doar restaurarea versiunilor anterioare.

Din copii umbră puteți restaura versiunile anterioare:

  • fişiere separate
  • folderele de fișiere

Restaurarea unui fișier individual dintr-o copie umbra este aproape aceeași cu restaurarea unui fișier dintr-o arhivă. În fila proprietăți fișier Versiuni anterioare veți vedea o listă de versiuni, iar locația va fi indicată Punct de restaurare.

Spre deosebire de un fișier salvat într-o arhivă, în acest caz veți avea opțiuni pentru a deschide și copia fișierul într-un folder la alegere.

În plus față de fișierele individuale, puteți restaura foldere din copii umbre. Lista versiunilor poate fi văzută în proprietăți foldere pe filă Versiuni anterioare.

Puteți deschide folderul, îl puteți copia într-o altă locație sau îl puteți restaura în vechea locație. La restaurare, ca și în cazul fișierelor din arhive, sistemul vă va avertiza dacă în folder există un fișier cu același nume.

Recuperarea fișierelor șterse din copii umbre

Dacă trebuie să restaurați o copie anterioară a unui fișier existent, mergeți la fila din proprietățile fișierului Versiuni anterioare. Ce să faci dacă fișierul este șters? Aveți două moduri:

  • recuperare folder
  • căutare de fișiere

Din copia umbră, puteți restaura folderul în care a fost localizat fișierul, așa cum este descris mai sus. Dacă nu vă amintiți locația exactă a unui fișier, dar aveți o idee aproximativă despre locul în care se afla în arborele folderelor, puteți restabili folderul părinte.

Cu toate acestea, înainte de a restaura folderul, puteți încerca să găsiți fișierul șters folosind Căutarea Windows. Să ne uităm la secvența acțiunilor folosind un exemplu. Am șters fișierul support_center01.png, iar acum am nevoie de el. Știu în ce folder a fost și caut fișierul în el (și dacă nu aș ști locația exactă, aș căuta în cel mai apropiat părinte).

Copiile umbră nu sunt indexate, iar fișierul șters este imediat exclus din index, așa că căutarea nu îl găsește. Prin urmare, trebuie să căutați în locuri neindexate făcând clic Calculator. Căutarea fișierelor neindexate durează mai mult, dar răbdarea ta va fi răsplătită.

În copiile umbră am găsit nu numai fișierul PNG de care aveam nevoie, ci și un fișier BMP șters de mult cu același nume, de care uitasem.

De ce poate lipsi copiile umbra

După ce ați citit despre versiunile anterioare ale fișierelor, este posibil să doriți să verificați dacă acestea sunt create pe sistemul dvs. Dacă nu ați găsit versiuni anterioare, ar putea însemna că:

  • protecția sistemului este dezactivată, adică nu există puncte de restaurare în care sunt stocate versiunile anterioare ale fișierelor de sistem
  • Este alocat puțin spațiu pe disc pentru a proteja sistemul, așa că nu există suficient spațiu pentru copiile umbră ale fișierelor utilizator
  • conținutul fișierului sau folderului nu s-a modificat - în acest caz, nu sunt create copii umbră

Pentru a rezuma povestea despre recuperarea fișierelor, vreau să subliniez faptul că tehnologiile Windows sunt interconectate. Veți avea cele mai mari șanse de a vă recupera fișierele dacă utilizați Windows Backup împreună cu System Protection. Puteți crește aceste șanse creând imagini de sistem de rezervă, a căror restaurare va fi discutată mai jos.

Restaurarea sistemului dintr-o imagine creată anterior

În timpul instalării Windows 7, pe hard disk este creată automat o partiție de serviciu care conține Windows RE (Recovery Environment). Folosind această secțiune puteți:

  • porniți în mediul de recuperare de pe hard disk
  • creați un disc de reparare a sistemului și porniți de pe acesta

Pornind în mediul de recuperare, puteți restaura sistemul dintr-o imagine pre-creată.

Atenţie! Pentru o descriere detaliată a creării unui disc de reparare a sistemului, a mediului de recuperare și a opțiunilor de pornire în acesta, consultați articolul Utilizarea mediului de recuperare Windows RE în Windows 7. Mai jos discutăm doar despre pornirea în Windows RE de pe un hard disk.

Pornirea în mediul de recuperare de pe hard disk

Pentru a intra în meniu Opțiuni suplimentare de descărcare, presa F8 după pornirea computerului, dar înainte de a încărca sistemul de operare.

Selectați primul element de meniu - Depanarea computeruluiși apăsați Enter. Se va lansa Windows Recovery Environment, unde primul lucru care vi se va cere este să selectați aspectul tastaturii.

Selectați limba în care este setată parola contului dvs. administrativ, deoarece vi se va cere să o introduceți la pasul următor.

După ce ați introdus parola, veți vedea un meniu cu opțiuni de recuperare, dintre care una este Restaurarea unei imagini de sistem.

Restaurarea unei imagini de sistem din Windows RE

Windows RE oferă diverse instrumente de recuperare a sistemului.

De asemenea, puteți alege o altă imagine de recuperare. După selectarea unei imagini, faceți clic pe butonul Mai departe pentru a începe procesul de recuperare.

Puteți formata discuri și crea partiții și aveți opțiunea de a exclude discurile din operația de formatare (discul care conține imaginea de arhivă este exclus automat). De asemenea, puteți pur și simplu să restaurați imaginea pe o partiție de sistem existentă. În spatele butonului În plus Mai sunt două opțiuni ascunse.

După ce v-ați decis cu privire la opțiunile de recuperare, faceți clic Mai departe, apoi, în ultima fereastră a expertului, faceți clic pe butonul Gata. Windows 7 vă va avertiza că toate datele vor fi șterse din partiție și vor începe procesul de recuperare.

Dacă nu aveți un disc de instalare Windows 7, asigurați-vă că ați creat un disc de reparare a sistemului. Acest disc vă va permite să restaurați o imagine de rezervă a sistemului chiar dacă partiția de serviciu Windows RE de pe hard disk este deteriorată.