Вы тут: Главная → Popular → Как восстановить удаленные файлы и папки из теневых копий в Windows
Если вы случайно удалили файл или папку мимо корзины, не впадайте в панику. Программы для восстановления данных от вас никуда не денутся, поэтому попробуйте сначала средства системы. В Windows можно восстановить предыдущие версии файлов и папок, даже если в графическом интерфейсе этой возможности нет.
В Windows 8 в свойствах дисков, папок и файлов стало на одну вкладку меньше. Обратите внимание, что пропали предыдущие версии.
Это наблюдается только в клиентской операционной системе, т.е. в Windows Server 2012 вкладка осталась. В Windows 10 вкладка вернулась, но… вам надо прочесть статью
Статья обновлена в контексте Windows 10 и Windows 11.
Сегодня в программе
- Предыдущие версии в Windows 10 и Windows 11
- Как работают предыдущие версии, и почему убрали вкладку в Windows 8
- Как открыть предыдущие версии файлов и папок из теневых копий
Статья была написана во времена Windows 8, а в Windows 10 вкладка «Предыдущие версии» вернулась в свойства папки. Тем не менее материал актуален для Windows 10 и 11, потому что в нем демонстрируются способы восстановления файлов напрямую из теневых копий.
В Windows 10 и новее на вкладке написано, что предыдущие версии образуются из истории файлов и теневых копий. Однако это больше не относится к теневым копиям, которые создает защита системы! Поэтому при стандартных настройках предыдущие версии могут быть доступны только из истории файлов, если она включена, конечно.
Так, мой эксперимент в Windows 10 версии 1511 (и позже в 1709) показал, что на вкладке отображаются только версии из истории файлов, даже если защита системы включена!
На этой картинке:
- Свойства папки скриншотов в ОС. Последняя версия от 27 февраля. Вероятно, это дата последнего копирования в историю файлов, которая у меня сейчас не работает (диск отключен физически)
- Последняя теневая копия от 11 мая (появилась при создании точки восстановления перед установкой обновлений WU), создаю символическую ссылку на п.3
- Содержимое теневой копии. Видно, что в ней есть файлы, созданные незадолго до появления теневой копии от 11 мая. Однако они отсутствуют в п.1
Таким образом, лучший шанс восстановить предыдущие версии у вас есть в том случае, если включена история файлов или тенeвые копии создаются командной wmic. Тогда версии доступны на вкладке в свойствах папки.
Как работают предыдущие версии, и почему убрали вкладку в Windows 8
Такая картина в свойствах файлов и папок является лишь следствием того, что в параметрах защиты системы Windows 8 теперь нет опции восстановления файлов.
Я не знаю, почему убрали опцию защиты файлов и вкладку предыдущих версий. У меня есть лишь обоснованные предположения, которыми я поделюсь с вами, заодно объяснив принцип работы предыдущих версий.
Во многих системах на этой вкладке всегда было пусто
Это заставляло тысячи людей озадачивать форумы сообщества и поддержку Microsoft наболевшим вопросом. Но вы-то уже догадались, в чем была их проблема, не так ли? У этих людей была полностью отключена защита системы!
Людям был непонятен принцип хранения и отображения предыдущих версий
Действительно, почему для одних папок есть несколько версий, а для других – ни одной? Дело в том, что разные редакции файлов в этих папках могли быть созданы только не раньше самой старой точки восстановления.
Согласитесь, при взгляде на вкладку не совсем очевидно, что сохранение версий личных документов и медиа-файлов привязано к созданию точек восстановления (хотя это описано в справке Windows, пусть и не без огрехов).
Увеличить рисунок
О точках принято думать как о средстве отката системных параметров, тем более что личные файлы при этом не восстанавливаются (за исключением этих типов файлов).
Между тем, точки восстановления и предыдущие версии файлов (не относящиеся к истории файлов) хранятся в одном месте – теневых копиях тома.
Механизм восстановления системы попросту делает снимок тома в нужное время и сохраняет его в теневой копии. Именно пространство, выделенное для теневых копий, вы контролируете в параметрах защиты системы.
Теперь становится понятно, почему количество версий у файлов и папок может варьироваться. Состояние файла записывается на момент создания точки восстановления. Если между точками он изменялся, в теневой копии сохраняется его версия. Если же файл оставался неизменным в период, охваченный точками восстановления, у него вообще не будет предыдущих версий.
В Windows 8 появилась история файлов
Когда понятен принцип применения технологии, из нее можно извлечь пользу. В Windows 7 это было непонятно большинству людей, поэтому в Windows 8 внедрили более наглядную систему резервного копирования данных – историю файлов.
Увеличить рисунок
Она не опирается на теневые копии, а количество версий файлов вы можете контролировать, указав частоту резервного копирования. Все зависит от ваших нужд и места на целевом диске.
Вкладку же доступа к «непонятным» предыдущим версиям в Windows 8 просто убрали, вместе с сопутствующей опцией в параметрах защиты системы. Что же касается ИТ-специалистов, то они должны быть хорошо знакомы с понятием теневых копий – ведь в серверных ОС для управления ими есть одноименная вкладка в свойствах тома. Потому в Windows Server 2012 вкладка «Предыдущие версии» находится на своем привычном месте.
В Windows 8+ точки восстановления создаются по особому алгоритму, а вместе с ними сохраняются предыдущие версии ваших файлов и папок. Дальше я расскажу, как их открыть.
Как открыть предыдущие версии файлов и папок из теневых копий
Здесь способы, которые сработают в случае, если вы создаете теневые копии командой wmic. Они могут не помочь, если у вас только включена защита системы. Первый способ подходит для всех поддерживаемых Windows, а второй имеет смысл лишь в Windows 8/8.1 и сохранен в блоге для истории.
Способ 1 — символическая ссылка в теневые копии (Windows 7 и новее)
Постоянные читатели блога уже видели этот трюк в статье про функцию обновления ПК без удаления файлов (Refresh Your PC). Она тоже использует теневые копии для промежуточного сохранения диска, когда вы создаете свой образ для отката.
Тогда мне этот фокус был нужен для понимания технологии, зато теперь он вам может понадобиться для решения вполне конкретной задачи. В командной строке, запущенной от имени администратора, выполните:
vssadmin list shadows
Вы увидите список теневых копий на всех томах. Для каждой из них указана буква диска, поэтому вам будет легко сориентироваться. Кроме того, каждая теневая копия соответствует по дате одной из точек восстановления (чтобы вывести их список, выполните в консоли rstrui).
Увеличить рисунок
Выберите нужную дату и скопируйте идентификатор тома теневой копии. Теперь используйте его во второй команде (не забудьте добавить обратный слэш в конце):
mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
В корне системного диска у вас уже появилась символическая ссылка shadow, ведущая в теневую копию! Перейдя по ссылке, вы увидите знакомую структуру файлов и папок – это и есть их предыдущие версии.
Способ 2 — вход в общий диск по сети (Windows 8 и 8.1)
Добавлено 15.01.2013. В комментариях читатель Алексей поделился более простым способом доступа к теневым копиям по сравнению с описанным в статье изначально. Сначала способ работал, но позже Microsoft закрыла лазейку каким-то из обновлений. Однако читатель Ника в итоге подсказал обходной путь.
Сначала нужно сделать диск общим, а потом зайти в него «по сети». В окне «Этот компьютер» откройте «Сеть» и зайдите на свой ПК, либо под учетной записью администратора вставьте сетевой путь в адресную строку проводника или в окно «Выполнить»:
\\%computername%\C$
где C — буква желаемого диска. В сетевых папках вкладка «Предыдущие версии» присутствует:
Поскольку я несколько раз прибегал к извлечению данных из теневых копий, мне немного жаль потери в графическом интерфейсе. Ведь вкладка «Предыдущие версии» была удобна тем, что сразу позволяла добраться до нужных файлов.
Впрочем, я уж не настолько часто пользовался этой возможностью, чтобы ввод двух команд в консоль доставлял мне жуткие неудобства. Ведь главное – это наличие предыдущих версий файлов, а добраться до них я смогу! Теперь сможете и вы
А вам хоть раз доводилось восстанавливать предыдущие версии файлов из теневых копий? Расскажите в комментариях, почему возникла необходимость и удалось ли все восстановить.
Я все-таки думаю, что большинство читателей ни разу не прибегали к этой возможности на домашних системах, а посему ее исчезновение из графического интерфейса их не слишком расстроит. В следующей записи мы поговорим о том, почему различные функции Windows исчезают или подвергаются изменениями, и как вы можете повлиять на ситуацию.
Предвидя, что пользователи неоднократно будут сталкиваться с различными неполадками в работе операционной системы, возникающими как по вине самих пользователей, так и вследствие непредвиденных сбоев, разработчики Microsoft реализовали в Windows функцию автоматического и ручного создания так называемых точек восстановления — резервных копий ключей реестра и наиболее важных системных и программных файлов. Если Windows начнёт работать неправильно, вы можете вызвать мастер восстановления и откатить систему к той точке, на момент которой операционная система работала стабильно.
Но использование функции отката не всегда бывает рациональным. Если вы знаете, какой именно файл повреждён или удалён, нет особой нужды восстанавливать все файлы, так как это в свою очередь может нарушить работу программ, установленных после создания точки восстановления. Но тут возникает вопрос — как получить доступ к резервным копиям файлов точек восстановления и где их вообще искать? Точки восстановления представляют собой системные файлы без расширения, в качестве имени которых используется уникальный 128-битный идентификатор, или иначе GUID. Физически точки восстановления располагаются в скрытой папке System Volume Information, доступ к которой в графической среде у пользователя отсутствует.
Просмотреть и даже скопировать её содержимое, однако, не составляет большого труда. Сделать это можно, загрузив компьютер с LiveCD на базе Linux или изменив права доступа к каталогу System Volume Information. Впрочем, это вам мало что даст, так как файл теневой копии нельзя просто взять и смонтировать или открыть архиватором.
Чтобы получить доступ к содержимому пакетов точек восстановления, вам понадобится специальная утилита ShadowExplorer, предназначенная как раз для просмотра содержимого теневых копий и извлечения из них отдельных файлов. Утилита совместима со всеми популярными версиями Windows, но для работы с ней вам понадобиться установленный компонент NET. Framework 3.5. В использовании инструмент предельно прост. Будучи запущенной, утилита выведет содержимое первой же точки восстановления, если же точек несколько, нужную можно будет выбрать в выпадающем меню в левом верхнем углу окна программы.
Само окно приложения имеет две колонки: в левой отображается древовидная структура защищённого раздела, в правой — каталоги с их содержимым, которые вы можете открывать обычным двойным кликом. Процедура восстановления файлов или папок в ShadowExplorer столь же проста, как и их просмотр: кликните правой кнопкой мыши по выделенному в правой колонке объекту, выберите в открывшемся меню единственную опцию «Export» и укажите место для извлечения данных.
Использование ShadowExplorer — не единственный способ вытащить файлы из точек восстановления. Получить доступ к теневым копиям Windows можно средствами самой операционной системы, создав на файл копии обычную символическую ссылку! Откройте от имени администратора командную строку и выведете командой vssadmin list shadows список всех имеющихся на компьютере точек восстановления. В результате вы получите набор данных каждой теневой копии — её идентификатор, исходный том, том теневой копии, название поставщика и так далее.
Вам нужен том теневой копии. Скопируете его, сформируйте и выполните вот такую команду:
mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
Обратите внимание на слеш в конце, не убирайте его, иначе ссылка создана не будет. В результате выполнения команды в корне системного раздела у вас появится символическая ссылка на папку shadow, перейдя по которой вы прямиком попадёте в теневую копию, откуда без проблем сможете скопировать любой файл или папку.
Ну или почти любой, так как на некоторые каталоги, например, папку config с файлами кустов реестра, у вас не будет соответствующих прав доступа. Забрать их у работающей Windows вряд ли получится, но можно загрузить систему в безопасном режиме или из-под спасательного диска на базе WinPE, тогда вы сможете беспрепятственно скопировать защищённые папки или файлы в нужное вам расположение.
А на этом, пожалуй, все. Есть, правда, ещё один способ достучаться до файлов теневых копий — включить для диска с точками восстановления общий доступ, а затем командой \\%computername%\C$ открыть к нему сетевой доступ для самого себя. Но здесь у вас так же могут возникнуть проблему с доступом, поэтому использование ShadowExplorer для копирования файлов и папок из точек восстановления представляется нам куда более удобным и практичным.
Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.
Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии. И если централизованное резервное копирование данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее. К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой Volume Shadow Copy Service (VSS).
Для обеспечения возможности восстановления старых версий файлов из VSS снапшотов, должны выполняться следующие условия:
- служба VSS должна быть включена для защищаемых томов
- на диске должно быть достаточно свободного места для хранения снимков (не менее 10-20%)
- у пользователя не должно быть прав локального администратора на своем компьютере (большинство современных шифровальщиков, запущенных с правами администратора удаляют все доступные VSS снимки), а защита User Account Control (UAC) включена
Рассмотрим механизм централизованного управления политикой создания снимков в доменной среде Active Directory для обеспечения возможности восстановления данных после атаки вируса-шифровальщика.
Содержание:
- Включение службы VSS на компьютерах с помощью GPO
- Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO
- PowerShell скрипт для создания теневых снимков всех томов
- Задание планировщика по созданию VSS-снимков
- Восстановление исходных данных из теневой копии тома
- Заключение
Включение службы VSS на компьютерах с помощью GPO
В первую очередь создадим групповую политику, которая бы включала службу Volume Shadow Copy Service (VSS) на компьютерах пользователей. Для этого в консоли GPMC.msc создадим новый объект GPO с именем VSSPolicy и назначим его на OU с компьютерами пользователей.
Перейдем в режим редактирования GPO. Затем в разделе Computer Configuration->Windows Settings->Security Settings->System Service в списке служб нужно найти службу Volume Shadow Copy и задать для нее тип запуска Automatic.
Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO
Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK. В данном примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае она корректно отработала как на Windows 7 так и на Windows 10 x64). С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры.
Совет. Файл vshadow.exe можно скачать по этой ссылке: vshadow-7×64.zip
Для этого в разделе политики Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).
PowerShell скрипт для создания теневых снимков всех томов
Далее нам понадобится скрипт, который бы определял список дисков в системе, включал бы для всех ведение теневых снимков и создавал бы новый VSS-снапшот. У меня получился такой скрипт:
$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c $vssadminEnable
cmd /c $vsscreatess
}
Первая срока позволяет найти все диски в системе, а затем для каждого диска утилита vshadow активирует ведение теневых копий, которые должны занимать не более 10% места и создает новую копию.
Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.
Задание планировщика по созданию VSS-снимков
Последнее, что осталось сделать – создать на всех ПК задание планировщика, которое регулярно бы запускало скрипт PowerShell vss-script.ps1 и создавало бы новый vss снимок дисков. Проще всего создать такое задание через GPP. Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.
Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).
Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe
с аргументом %windir%\system32\vss-script.ps1
Совет. Нужно предусмотреть также создание еженедельного задания планировщика, удаляющего старые VSS снимки. Для этого нужно создать новое задание планировщика, запускающего скрипт аналогичный первому, но со строками:
$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c $vssadminDeleteOld
Восстановление исходных данных из теневой копии тома
В том случае, если шифровальщик все-таки попал на ПК пользователя и сделал свое черное дело, после искоренения его из системы, администратор может восстановить документы пользователя из последнего снимка.
Список всех доступных снимком можно вывести командой:
vssadmin.exe list shadows
В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.
Смонтируем снапшот на чтение в виде отдельного драйва системы по его ID:
vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:
Теперь с помощью File Explorer или любого файлового менеджера скопируйте оригинальные файлы с диска Z:, представляющего собой содержимое подключенного снимка диска.
Чтобы отмонтировать диск со снимком:
mountvol Z:\ /D
Совет. Есть и более удобный графический инструмент для просмотра и извлечения данных из снимков VSS – ShadowExplorer.
Заключение
Конечно, теневые копии VSS не являются методом борьбы с вирусами-шифровальщиками и не отменяют комплексного подхода в организации безопасности сети от вирусов (антивирусы, блокировка запуска исполняемых файлов с помощью SRP или AppLocker политик, репутационные фильтры SmartScreen и т.д.). Однако, простота и доступность механизма теневых копий томов является, на мой взгляд, большим преимуществом этого простого способа восстановления зашифрованных данных, который очень вероятно пригодится в случае проникновения заразы на компьютер пользователя.
Если вам не удается найти файл на компьютере или если вы случайно удалили или изменили его, то вы можете восстановить его из резервной копии (если вы используете программу архивации данных) или попытаться восстановить его предыдущую версию. Предыдущие версии — это копии файлов и папок, которые Windows автоматически сохраняет в составе точки восстановления. Предыдущие версии иногда называют теневыми копиями.
Чтобы восстановить файл из резервной копии, убедитесь, что доступен носитель или диск, на который сохранена резервная копия, а затем выполните указанные ниже действия.
Восстановление файлов из резервной копии
-
Откройте функцию «Резервное копирование и восстановление», нажатием кнопки «Начните», выберите панель управления,выберите «Система и обслуживание», а затем выберите «Резервное копирование и восстановление».
-
Выберите Восстановить мои файлы, а затем следуйте инструкциям в мастере.
Восстановите удаленные файлы и папки или предыдущее состояние файла или папки.
Восстановление удаленного файла или папки
-
Откройте «Компьютер», нажатием кнопки «Начните «Компьютер» и выберите «Компьютер».
-
Найдите папку, в которой хранился нужный файл или папка, щелкните ее правой кнопкой мыши, а затем щелкните «Восстановить прежнюю версию». Если папка была расположена на верхнем уровне диска, например по пути C:\, щелкните диск правой кнопкой мыши и выберите Восстановить прежнюю версию.
Вы увидите список доступных предыдущих версий файла или папки. В этот список включаются и файлы, сохраненные при резервном копировании (если вы используете программу архивации данных), и точки восстановления (если доступны оба типа архивации).
Примечание: Чтобы восстановить прежнюю версию файла или папки, включенных в библиотеку, щелкните файл или папку правой кнопкой мыши в расположении, в котором он или она сохранены, а не в библиотеке. Например, чтобы восстановить предыдущую версию рисунка, включенного в библиотеку «Изображения», но сохраненного в папке «Мои рисунки», щелкните папку «Мои рисунки» правой кнопкой мыши, а затем — «Восстановить предыдущую версию».
Предыдущие версии файлов
-
Дважды щелкните предыдущую версию папки с файлом или папкой, которую нужно восстановить. (Например, если файл был удален сегодня, выберите версию папки со вчерашнего дня, которая должна содержать файл.)
-
Перетащите файл или папку, которую вы хотите восстановить, в другое место, например на рабочий стол или в другую папку.
Версия файла или папки будет сохранена в выбранном расположении.
Совет: Если вы не помните точное имя или расположение файла или папки, можно выполнить их поиск, введя часть имени в поле поиска в библиотеке «Документы».
Восстановление файла или папки в предыдущее состояние
-
Щелкните правой кнопкой мыши файл или папки и выберите Восстановить прежнюю версию.
Вы увидите список доступных предыдущих версий файла или папки. В этот список включаются и файлы, сохраненные при резервном копировании (если вы используете программу архивации данных), и точки восстановления (если доступны оба типа архивации).
Вкладка «Предыдущие версии», на которой отображены предыдущие версии файлов -
Прежде чем восстанавливать предыдущую версию файла или папки, выберите ее, а затем щелкните Открыть, чтобы убедиться, что это нужная вам версия.
Примечание: Вам не удастся открыть или скопировать предыдущие версии файлов, созданных программой архивации данных, но вы можете восстановить их.
-
Для восстановления предыдущей версии выберите ее, а затем щелкните Восстановить.
Предупреждение: Этот файл или папка заменит текущую версию файла или папки на вашем компьютере, причем замена будет необратимой.
Примечание: Если эта кнопка «Восстановить» недоступна, вам не удастся восстановить предыдущую версию файла или папки в его или ее первоначальном расположении. Возможно, вам удастся открыть или сохранить их в другое расположение.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Найдите решения распространенных проблем или получите помощь от агента поддержки.
Если важные данные были удалены из «Корзины» или по сети, это не всегда означает, что всё потеряно. Можно попытаться их восстановить из теневой копии.
Теневое копирование – это механизм, который позволяет периодически создавать точные папок и файлов, даже если они в этот момент открыты или заблокированы системой. Теневые копии создаются через определённые интервалы времени в соответствии с расписанием. Если квота, выделенная на жёстком диске для хранения теневых копий будет исчерпана, старые теневые копии будут постепенно замещаться более новыми.
Обычно теневые копии данных надёжно скрыты от пользователя. Поэтому для того чтобы получить к ним доступ необходимо воспользоваться командной строкой.
О том как windows 10 отключить проверку подписи драйверов читайте в дополнительном материале
Получение списка теневых копий
Для работы с теневыми копиями необходимо иметь особые привилегии. Поэтому командную строку необходимо запустить от имени «Администратора».
Получить список имеющихся на данный момент теневых копий можно выполнив команду:
Чтобы не утруждать себя пролистыванием вывода консоли список теневых копий можно выгрузить в текстовый файл в любую доступную папку жесткого диска. Список теневых копий, который сохраняется в файл, по своему содержанию абсолютно идентичен тому, что выводится на консоль.
vssadmin List Shadows >C:\MyFolder\shadows.txt |
Папка, в которую будет сохранён текстовый файл на момент вызова вышеприведённой команду уже должна существовать.
Файл со списком теневых копий сохраняется в кодировке MS-DOS и, при попытке его открыть с помощью «Блокнота» все буквы, которые не входят в латинский алфавит, превратятся в нечитаемый набор символов. Поэтому, если речь идёт о локализованной версии Windows лучше заранее позаботиться о наличии хорошего редактора с поддержкой нескольких кодировок. Например, можно воспользоваться бесплатным Notepad++.
Сам файл со списком имеет приблизительно следующее содержание:
vssadmin 1.1 — Программа командной строки для администрирования службы теневого копирования томов
(C) Корпорация Майкрософт (Microsoft Corportion), 2001-2013.Содержимое для ID набора теневых копий: {f47b5c66-0a80-420b-a40a-b51ccaed97d3}
Содержит 1 теневых копий на время создания: 16.08.2016 18:04:34
ID теневой копии: {ab21771a-6988-4d12-8324-2b361ed89c90}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического освобождения, Разностная, Восстановлен автоматическиСодержимое для ID набора теневых копий: {f416f560-4859-414a-9bbf-21d003db4d72}
Содержит 1 теневых копий на время создания: 19.08.2016 21:52:49
ID теневой копии: {0d8a7b3f-ea32-4ca2-921a-8e066d3349df}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического освобождения, Разностная, Восстановлен автоматическиСодержимое для ID набора теневых копий: {7626bc06-7d05-42a6-9d43-0cb591e10dbe}
Содержит 1 теневых копий на время создания: 26.08.2016 0:53:14
ID теневой копии: {4bce02fd-7bbe-4b72-8453-0f6a0baa52a3}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического освобождения, Разностная, Восстановлен автоматически
Вначале файла небольшой заголовок, после которого сразу следует список копий с подробным указанием их параметров.
В данном примере на компьютере создано три теневые копии. В зависимости от конкретного компьютера их количество и значения параметров могут отличаться. Значения некоторых параметров будут практически гарантированно иметь отличия так как содержат в своём составе GUID.
Подключение нужной теневой копии
Теневую копию можно подключить в папку Windows в виде символической ссылки с помощью команды mklink.
Формат вызова команды:
mklink /D полный_путь_к_папке\имя_ссылки том_теневой_копии\ |
Несмотря на то, что в списке теневых копий том указан без символа «\» в конце. Его наличие при вызове данной команды обязательно.
В качестве примера подключим в папку MyFolder теневую копию с именем тома \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5. Вызов команды будет имеет следующий вид
mklink /D C:\MyFolder\TestShadowLink \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\ |
В результате её выполнения в папке MyFolder появится символическая ссылка на требуемую теневую копию.
Для того чтобы перейти к просмотру подключенной теневой копии достаточно сделать по данной символической ссылке двойной клик мыши.
Восстановление папок и файлов из теневой копии
Перейдя в теневую копию, мы увидим уже знакомую нам структуру папок и файлов.
Чтобы восстановить нужную папку или файл достаточно просто найти её в файловой системе и скопировать из теневой копии в обычную папку.
После того как всё, что было необходимо скопировано, лучше удалить ссылку на теневую копию. Сделать это можно либо командой:
rd полный_путь_к_папке\имя_ссылки |
Применительно к вышеприведённому примеру:
rd C:\MyFolder\TestShadowLink |
Либо просто удалив ссылку в проводнике Windows как обычный ярлык.
Оставлять символические ссылки на теневые копии бессмысленно так как в случае удаления копии ссылка перестаёт работать.
Результат восстановления
Итогом всех проделанных операций должны стать данные (папка или файл) восстановленные по состоянию на дату создания копии.
Если копия создана незадолго до удаления восстановленных данных, велики шансы, что ущерб минимален или отсутствует вовсе (данные восстановлены полностью). Данные восстановленные из давних копий могут быть далеко не актуальными.
Кроме того, не исключено, что теневая копия того или иного файла может быть сделана неудачно. Особенно если с файлом в момент создания копии работали. Тогда несмотря на то, что файл корректно отображается в проводнике в нём на самом деле сохранены повреждённые данные. Восстановить их чаще всего невозможно.
Теневое копирование, однозначно мощный инструмент в плане обеспечения надёжности хранения информации. Но, лучше всего по возможности работать с файловой системой аккуратно и как можно чаще создавать резервные копии. Особенно для файлов и папок, которые представляют особую важность.