-
Indeksas
- 1 Kas yra šešėlinės apimties kopijos?
- du Kaip atkurti failus naudojant ankstesnes „Windows“ versijas
- 3 Kaip atkurti aplankus naudojant ankstesnes „Windows“ versijas
- 4 Naudokite „ShadowExplorer“, kad atkurtumėte failus iš „Shadow Volume Copies“.
- 5 Kodėl išpirkos reikalaujanti programa bando ištrinti šešėlio apimties kopijas
Kas yra šešėlinės apimties kopijos?
Nuo „Windows XP“ 2 pakeitimų paketo ir „Windows Server 20013“ „Microsoft“ į savo operacines sistemas įtraukė technologiją, vadinamą „Volume Shadow Copy Service“ arba VSS. Ši paslauga leidžia „Windows“ automatiškai arba rankiniu būdu kurti esamos failų būsenos tam tikrame tome (disko raidė) atsargines kopijas arba momentines kopijas. Svarbi šio proceso dalis yra ta, kad šios atsarginės failų kopijos gali būti padarytos, net jei jos yra atidarytos. Todėl tai suteikia mechanizmą, kurį „Windows“ ir atsarginių kopijų kūrimo programos gali naudoti, kad saugotų patikimą kompiuterio failų istoriją.
Kai sukuriamos šios atsarginės kopijos, jos saugomos specialiame konteineryje, vadinamame „Shadow Volume Copy“. Šias šešėlinės apimties kopijas gali naudoti atsarginė programinė įranga, paslaugų programos arba „Windows“, kad atkurtų failus, kurie galėjo būti kaip nors ištrinti arba pakeisti. Kai atsarginė kopija sukuriama naudojant „Shadow Volume Copy Service“, failų atsarginės kopijos kuriamos naudojant versijų metodą, todėl atsarginės kopijos kuriamos tik failo pakeitimams, o ne visam failui. Tai leidžia gauti daugybę to paties failo versijų nenaudojant daug vietos diske.
Kaip matote, ši technologija yra labai naudinga, nes prireikus leidžia atkurti ištrintus ar pakeistus failus. Radau daug šios funkcijos panaudojimo būdų, pvz., seno išsaugoto žaidimo atkūrimas, failų, kuriuos užšifravo išpirkos reikalaujančios programos, atkūrimas arba failo, kurį netyčia ištryniau, atkūrimas.
Šioje pamokoje aprašiau du būdus, kuriuos galite naudoti norėdami atkurti failus iš šešėlinės tomo kopijos. Pirmasis metodas naudoja integruotą „Windows“ funkciją, vadinamą ankstesnėmis versijomis. Antrasis būdas yra naudoti įrankį, vadinamą „Shadow Explorer“, kuris leidžia tyrinėti ir atkurti failus ir aplankus iš įvairių kompiuterio šešėlinių kopijų.
Kaip atkurti failus naudojant ankstesnes „Windows“ versijas
„Windows“ turi funkciją „Ankstesnės versijos“, kuri leidžia atkurti ankstesnes konkretaus failo kopijas iš „Shadow Volume Copy“ momentinių vaizdų. Toliau aprašytas metodas skirtas atskiriems failams atkurti tik iš šešėlinės apimties kopijų. Jei norite atkurti visą aplanką, perskaitykite šį skyrių.
Norėdami atkurti atskirus failus, atidarykite aplanką, kuriame yra failas, kurį norite atkurti, kaip parodyta toliau.
Dabar dešiniuoju pelės mygtuku spustelėkite failą, kurį norite atkurti, ir pasirinkite ypatybes, kaip parodyta toliau.
Pasirodžiusiame kontekstiniame meniu spustelėkite parinktį Savybės . Tai atvers failo ypatybes. Kai atsidarys ypatybių ekranas, spustelėkite skirtuką Ankstesnės versijos . Dabar atsidursite ekrane, kuriame rodomos visos ankstesnės versijos, kurios buvo išsaugotos šešėlinėse kopijose. Atminkite, kad kiekviena versija turės datą ir laiką, kada buvo sukurta atsarginė kopija.
Norėdami atkurti ankstesnę failo versiją, galite spustelėti mygtukus Kopijuoti O Atkurti . Mygtukas Kopijuoti atkurs failą į nurodytą vietą, o mygtukas Atkurti perrašys esamą failą standžiajame diske ankstesne versija. Siūlau sukurti aplanką standžiajame diske ir naudoti mygtuką Kopijuoti, kad atkurtumėte ankstesnę šio aplanko versiją, kad įsitikintumėte, jog tai yra tas, kurio norite.
Norėdami tai padaryti, spustelėkite mygtuką Kopijuoti ir „Windows“ paprašys jūsų aplanko, į kurį norite atkurti failą.
Naršykite iki aplanko arba sukurkite naują, kuriame norite atkurti ankstesnę versiją. Kai būsite pasiruošę, spustelėkite mygtuką Kopijuoti .
Dabar „Windows“ nuskaitys ankstesnę „Shadow Volume Copies“ failo versiją ir išsaugos ją nurodytame aplanke. Dabar galite uždaryti ypatybių langą ir, jei reikia, pasiekti failą.
Jei norite sužinoti, kaip atkurti visą aplanką, galite perskaityti kitą skyrių.
Kaip atkurti aplankus naudojant ankstesnes „Windows“ versijas
Viso aplanko atkūrimas naudojant ankstesnes „Windows“ versijas dažniausiai yra tas pats, kas failo atkūrimas. Veiksmai šiek tiek skiriasi, todėl maniau, kad tam skirta skiltis būtų naudinga.
Norėdami atkurti aplanką, atidarykite aplanką, kuriame yra failas, kurį norite atkurti, kaip parodyta toliau.
Dabar dešiniuoju pelės mygtuku spustelėkite tuščią aplanko vietą, kad atidarytumėte aplanko kontekstinį meniu, kaip parodyta toliau.
Pasirodžiusiame kontekstiniame meniu spustelėkite parinktį Savybės . Tai atvers aplanko ypatybes. Kai atsidarys ypatybių ekranas, spustelėkite skirtuką Ankstesnės versijos . Dabar atsidursite ekrane, kuriame rodomos visos ankstesnės aplanko versijos, kurios buvo išsaugotos šešėlinėse kopijose. Atminkite, kad kiekviena versija turės datą ir laiką, kada buvo sukurta atsarginė kopija.
Norėdami atkurti ankstesnę aplanko versiją, galite spustelėti mygtukus Kopijuoti O Atkurti . Mygtukas Kopijuoti atkurs aplanką į nurodytą vietą, o mygtukas Atkurti perrašys esamą aplanką standžiajame diske su ankstesnėmis visų jame esančių failų versijomis. Siūlau sukurti aplanką standžiajame diske ir naudoti mygtuką Kopijuoti, kad atkurtumėte ankstesnę šio aplanko versiją, kad netyčia neperrašytumėte gerų failų.
Norėdami tai padaryti, spustelėkite mygtuką Kopijuoti ir „Windows“ paprašys jūsų vietos aplankui atkurti.
Naršykite iki aplanko arba sukurkite naują, kuriame norite atkurti ankstesnę aplanko versiją. Kai būsite pasiruošę, spustelėkite mygtuką Kopijuoti .
Dabar „Windows“ atkurs visą ankstesnę „Shadow Volume Copies“ aplanko versiją į nurodytą aplanką. Dabar galite uždaryti ypatybių langą ir eiti į atkūrimo aplanką, kad pamatytumėte, ar turite reikalingų failų.
Naudokite „ShadowExplorer“, kad atkurtumėte failus ir aplankus iš „Shadow“ tomo kopijų
Norėdami atkurti failus ir aplankus iš „Shadow Volume Copies“, taip pat galite naudoti programą „ShadowExplorer“. Asmeniškai aš teikiu pirmenybę šiam metodui, o ne ankstesnėms versijoms, nes manau, kad patogioje sąsajoje lengviau rasti ir atkurti reikalingų failų versijas. Atsisiųsdami programą galite naudoti visos sąrankos atsisiuntimą arba nešiojamąją versiją, nes jie abu atlieka tas pačias funkcijas.
„ShadowExplorer“ galima atsisiųsti iš šios nuorodos: „Shadow Explorer“ atsisiuntimo nuoroda
Atsisiuntę ir paleidę „ShadowExplorer“, jums bus pateiktas ekranas, kuriame bus išvardyti visi diskai ir šešėlinės kopijos sukūrimo datos. Pasirinkite diską (mėlyna rodyklė), iš kurio norite atkurti failus ar aplankus, ir datą (raudona rodyklė), iš kurios norite atkurti. Tai parodyta paveikslėlyje žemiau.
Tada eikite į aplanką arba failus, kuriuos norite atkurti. Kai būsite pasiruošę, dešiniuoju pelės mygtuku spustelėkite aplanką arba failą ir pasirinkite Eksportuoti kaip parodyta toliau.
Kai spustelėsite Eksportuoti, ShadowExplorer parodys raginimą, kuriame bus klausiama, kur atkurti failus, kaip parodyta toliau.
Naršykite arba sukurkite naują aplanką, kad gautumėte failus, tada spustelėkite mygtuką Gerai . „ShadowExplorer“ dabar atkurs failus į tą vietą.
Kodėl išpirkos reikalaujanti programa bando ištrinti šešėlio apimties kopijas
Įprasta „ransomware“ infekcijų taktika yra ištrinti šešėlinio tomo kopijas šifruojant aukos kompiuterį. Kadangi dabar matote, kaip lengva atkurti failus naudojant „Shadow Volume Copies“, gelbėjimo programa juos ištrina, kad auka negalėtų to padaryti.
Kai išpirkos reikalaujanti programa bando ištrinti šešėlinio tomo kopijas, ji paprastai naudoja komandą:
C:NWindowsN-SysnativeNvssadmin.exe“ Ištrinkite šešėlius tyliai
Kai ši komanda bus vykdoma, „Windows“ parodys UAC raginimą, kuriame bus klausiama, ar auka nori, kad komanda būtų paleista administratoriaus teisėmis. Jei vartotojas leis komandą tęsti, vssadmin.exe ištrins visas šešėlines visų kompiuterio diskų kopijas. Kai kuriais atvejais „Ransomware“ naudos „powershell“ arba WMIC komandas, kad nuvalytų SVC.
Nepriklausomai nuo to, kaip šios kopijos ištrinamos, išpirkos reikalaujanti programa pašalina SVC, kad nebūtų galima atkurti išpirkos reikalaujančios programos užšifruotų failų.
Ką tu manai?
