Здравствуйте, друзья! Вот и добрался я в очередной раз до карандаша и бумаги. Точнее до ноутбука и виртуальной машины. Сегодня хочу рассказать о таком безусловно интересном и полезном явлении, как предыдущие версии файлов или теневые копии Windows .

Продемонстрируем на практике работу с теневыми копиями.

Как восстановить удалённые файлы из теневых копий Windows

Вот у нас имеется рабочий стол Windows. На нём две папки screen и zip, которые мы будем удалять и восстанавливать. Третья папка – ShadowExplorer – программа, при помощи которой я буду работать с теневыми копиями. Программу я , берите и пользуйтесь! Итак, поскольку предыдущие версии файлов (теневые копии) используют контрольные точки восстановления, нам потребуется создать как минимум одну точку. Для этого перейдём в свойства системы, на вкладку “Защита системы”. Нам важно, чтобы в параметрах защиты стоял режим “Включено”, в настройках также можно задать резервируемый объём диска в процентном соотношении под эти контрольные точки, а также моментально создать точку восстановления (кнопка “Создать”)

Нажимаем “Создать”, вводим имя контрольной точки:

Процесс создания контрольной точки (делее – КТ ) занимает некоторое время.

Конечно, можно прибегнуть к программам восстановления данных, тем более, что объект удалили весьма недавно и есть вероятность его восстановить. Но что, если это не так? Что, если программы восстановления данных не дали нужного результата?

На помощь приходят данные из “теневых копий “. Запустим программу ShadowExplorer. Мы увидим в главном окне выпадающие списки – в первом – диск, на котором создаются теневые копии, во втором – дата создания снимка системы.

Так как снимок системы, как и логический раздел у нас в единственном экземпляре, то откроются именно нужные нам данные. В дереве каталогов развернём нужную директорию и увидим, что наши, ныне удалённые каталоги там ещё остались! Кликнем правой кнопкой на нужном каталоге и нажмём “Export”.
И вот, объект восстановлен! Конечно это не универсальный способ, но тем не менее, вполне жизнеспособный и полезный.

Где хранятся теневые копии Windows

Теневые копии Windows хранятся в каталоге “System Volume Information “, в файлах с именами, выглядящими как {GUID}{GUID2} , где {GUID} – идентификатор копии, {GUID2} – идентификатор раздела.

Работа с теневыми копиями посредством shadowcopyview

От Nirsoft есть отличный инструмент, позволяющий довольно удобно работать с теневыми копиями. Имя этой программке ShadowCopyView. Её я также прикладываю к статье, при желании можете скачать актуальную версию с сайта разработчиков – она бесплатная.

В главном окне отображаются теневые копии (в верхней части), ниже – их содержимое. Также есть пункт контекстного меню “Copy Selected Files To… “, позволяющий вытащить из теневой копии содержимое.

Работа с теневыми копиями из командной строки

Но что делать, если под рукой не оказалось каких-либо инструментов? Не беда, можно подмонтировать том теневой копии посредством командной строки и открыть теневую копию в качестве каталога в проводнике.

Первым делом, нам нужно получить список теневых копий:

Все теневые копии будут выведены в подобном виде. Здесь нас интересует дата создания и поле “Том теневой копии”. Скопируем эту строку и создадим символическую ссылку на этот каталог:

> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Внимание! Слеш в конце обязателен, на скрине я снял без слеша и не получилось войти в каталог. Команда mklink создаёт ссылку C:\old на каталог (ключ /D) резервной копии.

Посмотрим, как это выглядит в проводнике:

Но это вовсе не значит, что у нас на диске теперь записано в 2 раза больше информации. Эта информация помечена как свободная, но она не будет перезаписываться до тех пор, пока не исчерпается свободное место, отделённое на этапе настройки службы резервного копирования. Помните, мы там указывали, какой процент диска выделять под резервные копии. Только после того, как всё оставшееся место будет исчерпано, будут затираться теневые копии изменённых файлов.

Друзья! Вступайте в нашу

В предыдущей статье рассказывалось о возможностях резервного копирования Windows 7 - созданию файловых архивов и дисковых образов. Эта статья посвящена восстановлению файлов из архива и системы из образа диска, а также восстановлению предыдущих версий файлов.

На этой странице:

Восстановление файлов из архива

В Windows 7 вы можете восстанавливать файлы из архива с помощью элемента панели управления .

В главном окне элемента панели управления имеется три варианта восстановления файлов:

• Восстановить мои файлы - позволяет выбрать отдельные файлы и папки для восстановления.
• Восстановить файлы всех пользователей - также позволяет выбрать отдельные файлы и папки, но для всех пользователей компьютера.
• Выбрать другую резервную копию для восстановления файлов - позволяет восстановить файлы всех пользователей, а также выбрать архив, расположенный на сетевом диске.

Ниже рассматривается восстановление "моих" файлов. Первое окно мастера восстановления файлов насыщено опциями, поэтому пойдем по порядку.

Выбор даты архива. По умолчанию используется самый последний архив, о чем система сообщает в окне. Вы можете выбрать более раннюю дату - например, если вам требуется более старая копия файла.

Интерфейс, похоже, рассчитан на очень частое архивирование - по умолчанию отображаются архивы за последнюю неделю (на мой взгляд, логичнее сразу отображать архивы за месяц), но вы можете выбрать и более старые, конечно.

Поиск файлов. Это очень удобное средство, позволяющее моментально найти нужные файлы в архиве.

Обратите внимание, что в окне используется интерфейс проводника, т. е. в результатах поиска вы можете выбрать нужные столбцы свойств файла и сортировать по ним (группировки, впрочем, нет).

Добавление файлов и папок. Наряду с поиском имеется возможность добавления индивидуальных файлов и папок - для каждого действия собственная кнопка.

Список восстанавливаемых файлов. Отображаются имена добавленных папок и отдельных файлов.

Удаление файлов и папок из списка. Файлы и папки удаляются только из списка восстанавливаемых, но не из архива.

Переход к выбору места назначения для восстанавливаемых файлов. Вы можете восстановить файлы:

• в исходное место. В этом случае, если файл с таким же именем существует, система выведет стандартный диалог, предлагающий перезаписать файл, сохранить обе копии в папке или отказаться от копирования.
• в указанное вами место. В этом случае имеется возможность восстановления файлов с сохранением структуры папок, начиная от корня архива (выделено на рисунке).

Определившись с конечным расположением восстанавливаемых файлов, нажмите кнопку Восстановить .

Восстановление предыдущих версий файлов и папок

Представьте, что вы, работая с документом, удалили его часть, сохранили файл и закрыли приложение. А потом вдруг вспомнили, что удалили нечто очень важное. Или представьте, что вы удалили файл мимо корзины, а спустя месяц он вам очень понадобился. В обоих случаях у вас есть хороший шанс восстановить предыдущие версии файлов, которые могут сохраняться в Windows 7 двумя способами:

• файловые архивы, создаваемые с помощью архивации Windows
• теневые копии, создаваемые функцией защиты системы с помощью службы теневого копирования тома

Доступ к восстановлению предыдущих версий осуществляется из свойств файла или папки на вкладке Предыдущие версии .

Восстановление предыдущих версий файлов из архивов

Если файл включен в архив средствами резервного копирования Windows, в его свойствах на вкладке Предыдущие версии Архивация .

Если при восстановлении файла система обнаружит, что файл с таким именем уже существует, вам будет предложено перезаписать существующий файл, сохранить его с другим именем или отказаться от восстановления.

Безусловно, этот же файл можно восстановить из панели управления, но делать это из свойств файла может оказаться удобнее и быстрее.

Восстановление предыдущих версий файлов и папок из теневых копий

Для того чтобы имелась возможность восстановления файлов и папок из теневых копий, должна работать защита системы, которая включается для каждого диска отдельно. Возможно, это не слишком очевидно, но именно параметры защиты системы контролируют работу и объем дискового пространства для службы теневого копирования копирования тома, которая обеспечивает хранение точек восстановления системы и теневых копий файлов и папок.

Теневые копии не хранятся бесконечно долго. Им выделяется определенный процент дискового пространства, и по достижении заданного предела старые копии заменяются новыми. Поскольку о защите и восстановлении системы рассказывает , здесь я рассмотрю только восстановление предыдущих версий.

Из теневых копий вы можете восстановить предыдущие версии:

• отдельных файлов
• папок с файлами

Восстановление отдельного файла из теневой копии почти не отличается от восстановления файла из архива. В свойствах файла на вкладке Предыдущие версии вы увидите список версий, а в качестве расположения будет указано Точка восстановления .

В отличие от файла, сохраненного в архиве, в этом случае вам будут доступны варианты открытия и копирования файла в выбранную вами папку.

Помимо отдельных файлов, из теневых копий можно восстанавливать папки. Список версий можно увидеть в свойствах папки на вкладке Предыдущие версии .

Вы можете открыть папку, копировать ее в другое место или восстановить на старом месте. При восстановлении, как и в случае с файлами из архивов, система предупредит вас, если в папке окажется файл с таким же именем.

Восстановление удаленных файлов из теневых копий

Если вам требуется восстановить предыдущую копию существующего файла, достаточно перейти в свойствах файла на вкладку Предыдущие версии . А что делать в том случае, если файл удален? У вас есть два пути:

• восстановление папки
• поиск файла

Из теневой копии вы можете восстановить папку, в которой находился файл, как описано выше. Если вы не помните точного расположения файла, но примерно представляете, где в дереве папок он находился, можно восстановить родительскую папку.

Однако прежде чем восстанавливать папку, можно попробовать найти удаленный файл с помощью поиска Windows. Давайте рассмотрим последовательность действий на примере. Я удалил файл support_center01.png , а теперь он мне понадобился. Я знаю, в какой папке он находился, и ищу файл в ней (а если бы не знал точное расположение, искал бы в ближайшей родительской).

Теневые копии не индексируются, а удаленный файл мгновенно исключается из индекса, следовательно поиск его не находит. Поэтому нужно искать в неиндексируемых местах, щелкнув Компьютер. Поиск неиндексируемых файлов выполняется дольше, но ваше терпение будет вознаграждено.

В теневых копиях нашелся не только нужный мне PNG-файл, но и давным давно удаленный BMP-файл с тем же именем, о котором я и думать забыл.

Почему теневые копии могут отсутствовать

Прочитав о предыдущих версиях файлов, вы, возможно, захотите проверить, создаются ли они в вашей системе. Если вы не обнаружили предыдущих версий, это может означать, что:

• отключена защита системы , т.е. отстутствуют точки восстановления, где хранятся предыдущие версии системных файлов
• для защиты системы выделено незначительное дисковое пространство, поэтому для теневых копий пользовательских файлов не хватает места
• файл или содержимое папки не изменялись - в этом случае теневые копии не создаются

Подводя итог рассказу о восстановлении файлов, я хочу подчеркнуть, что технологии Windows связаны между собой. Наилучшие шансы на восстановление файлов у вас будут в том случае, если вы используете архивацию Windows наряду с защитой системы. Вы можете повысить эти шансы, создавая резервные образы системы, о восстановлении которых и пойдет речь ниже.

Восстановление системы из заранее созданного образа

Во время установки Windows 7 на жестком диске автоматически создается служебный раздел, содержащий среду восстановления Windows RE (Recovery Environment). Используя этот раздел, вы можете:

• загрузиться в среду восстановления с жесткого диска
• создать диск восстановления системы и загрузиться с него

Выполнив загрузку в среду восстановления, вы сможете восстановить систему из заранее созданного образа.

Внимание! Подробный рассказ о создании диска восстановления системы, среде восстановления и вариантах загрузки в нее вы найдете в статье Использование среды восстановления Windows RE в Windows 7 . Ниже рассматривается только загрузка в Windows RE с жесткого диска.

Загрузка в среду восстановления с жесткого диска

Для того чтобы войти в меню Дополнительные варианты загрузки , нажмите F8 после включения компьютера, но до загрузки операционной системы.

Выберите первый пункт меню - Устранение неполадок компьютера и нажмите Ввод. Запустится среда восстановления Windows, где первым делом вам будет предложено выбрать раскладку клавиатуры.

Выберите язык, на котором у вас задан пароль административной учетной записи, поскольку на следующем этапе его потребуется ввести.

После ввода пароля вы увидите меню с вариантами восстановления, одним из которых является Восстановление образа системы .

Восстановление образа системы из среды Windows RE

В среде Windows RE имеются различные средства восстановления системы.

Вы также можете выбрать другой образ для восстановления. Выбрав образ, нажмите кнопку Далее , чтобы начать процесс восстановления.

Вы можете отформатировать диски и создать разделы, при этом у вас имеется возможность исключить диски из операции форматирования (диск, содержащий архивный образ автоматически исключается). Также, вы можете просто восстановить образ на имеющемся системном разделе. За кнопкой Дополнительно скрывается еще две опции.

Определившись с параметрами восстановления, нажмите кнопку Далее , а затем, в последнем окне мастера, нажмите кнопку Готово . Windows 7 предупредит вас о том, что все данные будут удалены с раздела, и запустит процесс восстановления.

Если у вас нет установочного диска Windows 7, обязательно создайте диск восстановления системы. Этот диск позволит вам восстановить резервный образ системы даже в том случае, если на жестком диске окажется поврежденным служебный раздел Windows RE.

Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.

Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:

Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.

Оригинал статьи.

Надеюсь, что вы создаёте теневые копии, всего диска, не на том же диске, что и система, чтобы их просматривать?

Обычно, эти копии невозможны для просмотра, как и файлы архивации, но видно, что место занято.

Пространство для хранения теневых копий выделяется отдельно на рабочих томах и на резервном диске для полного копирования системы. Используемое, выделенное и максимальное пространство для теневых копий можно проверить путем запуска следующей команды из командной строки с повышенными привилегиями:

VSSAdmin list ShadowStorage

Используемое пространство - пространство, занятое теневыми копиями в настоящий момент; выделенное - пространство, зарезервированное для теневых копий (и не используемое для других задач); максимальное - верхний порог, дальше которого объем теневых копий не может расти.

Выделение пространства для теневых копий происходит автоматически, а значит, оно не может быть установлено пользователем. Новое пространство выделяется фиксированными кусками по мере занятия ранее выделенного пространства. По этой причине значение, указываемое для используемого пространства, всегда ниже, чем для выделенного.

Для рабочих томов максимальное допустимое пространство для хранения теневых копий определяется при создании первой теневой копии - обычно при первом включении средства восстановления системы и создания точки восстановления во время установки. Значение устанавливается на 30% свободного пространства или 15% от общего размера тома - что меньше. Этот максимальный размер статичен. Он не меняется ни при увеличении, ни при уменьшении свободного пространства, ни при изменении размера тома.

Однако размер можно подправить вручную путем использования средства VSSAdmin из командной строки с повышенными привилегиями. Например, чтобы увеличить максимальный размер пространства хранения на диске C:\ до 15 ГБ, нужно выполнить следующую команду:

VSSAdmin Resize ShadowStorage /For=C: /On=C: /MaxSize=15GB

Это средство впервые появилось на Windows Server®, где теневые копии определенного тома можно было держать на другом томе. В Windows Vista теневые копии тома хранятся на том же томе. Следовательно, копируемый том и том, на котором копии находятся, должны совпадать.

С другой стороны, объем пространства для хранения теневых копий на диске назначения полного резервного копирования компьютера зафиксирован на 30% от полного объема диска. Это значение контролируется программой резервного копирования компьютера и не может быть изменено вручную. Данное пространство хранения теневых копий используется для хранения добавочных копий, создаваемых средством полного резервного копирования компьютера.

До 64 теневых копий могут находиться на томе в один момент времени, если им хватит места в области хранения теневых копий. После того как максимальное ограничение по объему достигнуто, более старые теневые копии удаляются, чтобы освободить место для более новых. Следовательно, старые точки восстановления для средства восстановления системы удаляются при достижении предела хранимого в рабочем томе объема, а старые резервные копии, созданные CompletePC Backups удаляются при достижении этого предела на резервном диске. Вдобавок, хранение и правка иных данных на резервном диске могут вмешаться в нормальный процесс «старения» резервных копий, приводя к их ускоренному удалению.

Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.