本文介紹了如何使用Windows卷影拷貝服務(wù)恢復(fù)文件和文件夾,分享給大家���,具體如下:
什么是卷影拷貝�?
從Windows XP SP2和Windows Server 2013開始��,微軟就向Windows操作系統(tǒng)中引入了一項(xiàng)名叫卷影拷貝的服務(wù)(Volume Shadow Copy Service-VSS)。這種服務(wù)允許Windows系統(tǒng)以自動(dòng)或手動(dòng)的方式對(duì)文件或磁盤卷宗的當(dāng)前狀態(tài)進(jìn)行備份(或快照)�����,需要注意的是����,在這個(gè)過程中���,即使文件處于打開狀態(tài)下該服務(wù)仍然可以直接進(jìn)行文件備份��。
當(dāng)這些備份文件被創(chuàng)建之后�,它們會(huì)被保存在一個(gè)特殊的容器中����,即卷影拷貝(Volume Shadow Copy)。備份軟件�����、實(shí)用工具或Windows系統(tǒng)都可以使用這些卷影拷貝來恢復(fù)已被刪除或以某種形式修改后的文件��。當(dāng)我們使用卷影拷貝服務(wù)創(chuàng)建了一個(gè)備份文件時(shí)�,它使用的是一種基于版本的方法備份的����,即每次只備份文件中發(fā)生了變化的地方���,而不是備份整個(gè)文件�。因此�,這種機(jī)制將允許我們查看到同一文件的不同版本,而不需要占用大量的磁盤空間����。
你可以看到,如果有需要的話�����,這項(xiàng)技術(shù)可以幫助我們恢復(fù)被刪除或被修改的文件�����。但是除此之外��,我還發(fā)現(xiàn)這項(xiàng)服務(wù)可以用來恢復(fù)舊的游戲存檔��、已被勒索軟件加密的文件、或自己不小心刪除的文件���。
在這篇文章中����,我將給大家介紹兩種使用卷影拷貝服務(wù)來恢復(fù)文件的方法�����。
第一種方法利用的是Windows內(nèi)置的功能-以前的版本(Previous Versions)��;第二種方法使用了一款名叫Shadow Explorer的工具�����,這款工具可以幫助你直接查看卷影拷貝的文件或文件夾����。
如何使用Windows的內(nèi)置功能-以前的版本(Previous Versions)來恢復(fù)文件
Windows內(nèi)置有一種名叫以前的版本(PreviousVersions)的功能��,這項(xiàng)功能可以幫助我們從卷影拷貝快照中恢復(fù)以前的文件���。下面所介紹的方法只能從卷影拷貝中恢復(fù)單一文件���,如果你想要恢復(fù)整個(gè)文件夾的話�,請(qǐng)看下面的章節(jié)��。
首先�����,進(jìn)入包含需要恢復(fù)文件的文件夾:
右鍵點(diǎn)擊需要恢復(fù)的文件����,選擇屬性:
在彈出的菜單中,點(diǎn)擊“屬性”(Properities)��,然后點(diǎn)擊“以前的版本”(Previous Versions)標(biāo)簽��。接下來��,你會(huì)看到卷影拷貝中存儲(chǔ)的該文件所有的之前版本�。
接下來,你可以點(diǎn)擊“恢復(fù)”(覆蓋文件的當(dāng)前版本)或“復(fù)制”(可選存儲(chǔ)地址)按鈕來恢復(fù)文件�。如果你不確定的話,我建議你點(diǎn)擊“復(fù)制”按鈕將文件存儲(chǔ)到特定目錄中:
如何恢復(fù)整個(gè)文件夾
實(shí)際上�,恢復(fù)文件夾跟恢復(fù)單一文件的操作是差不多的,只不過在右鍵點(diǎn)擊并選擇“屬性”的這一步操作中�����,如果你想要恢復(fù)文件夾,你需要在文件夾中的空白地方點(diǎn)擊鼠標(biāo)右鍵并選擇“屬性”����。
剩下的操作就跟之前恢復(fù)單一文件時(shí)是一樣的了,即選擇需要恢復(fù)的文件夾版本���,然后點(diǎn)擊“復(fù)制”按鈕即可��。
使用ShadowExplorer從卷影拷貝中恢復(fù)文件或文件夾
就我個(gè)人而言����,我比較偏愛這種方法��,因?yàn)椴僮髌饋肀容^直觀�����。下載好這個(gè)工具之后��,打開它�,你將會(huì)看到一個(gè)類似資源管理器的界面�����,其中包含有各個(gè)驅(qū)動(dòng)器下的卷影拷貝以及相應(yīng)的修改日期和文件類型。你可以選擇驅(qū)動(dòng)器和創(chuàng)建時(shí)間來快速尋找需要恢復(fù)的文件:
接下來��,找到你需要恢復(fù)的文件或文件夾���,右鍵點(diǎn)擊它����,然后選擇“導(dǎo)出”(Export):
點(diǎn)擊了“導(dǎo)出”之后�����,ShadowExplorer將會(huì)顯示一個(gè)對(duì)話框讓你選擇將文件恢復(fù)到哪里��,選擇好之后點(diǎn)擊“確認(rèn)”(OK)即可:
為什么惡意軟件會(huì)嘗試刪除卷影副本�?
計(jì)算機(jī)勒索軟件在感染了Windows系統(tǒng)并加密了目標(biāo)用戶的文件之后,通常都會(huì)嘗試刪除卷影副本���。大家已經(jīng)看到了���,使用卷影副本來恢復(fù)文件是多么的簡(jiǎn)單,那么勒索軟件當(dāng)然不想用戶這么輕松地就恢復(fù)了自己的文件����!
當(dāng)勒索軟件嘗試刪除卷影副本時(shí)���,通常使用的是下面這行命令:C:\Windows\Sysnative\vssadmin.exe"Delete Shadows /All /Quiet
這條命令執(zhí)行之后,Windows將會(huì)顯示一條UAC對(duì)話框并詢問用戶是否要以管理員權(quán)限執(zhí)行這條命令��。如果用戶允許執(zhí)行�,那么vssadmin.exe將會(huì)刪除目標(biāo)主機(jī)中所有驅(qū)動(dòng)器的卷影副本。在某種情況下��,勒索軟件還會(huì)使用PowerShell或WMIC命令來刪除SVC�����,并以此來防止用戶恢復(fù)那些已被勒索軟件加密了的文件��。
* 參考來源: bleepingcomputer ���,F(xiàn)B小編Alpha_h4ck編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM
