Восстановление из теневой копии windows 7

Как правило, расшифровать зашифрованные вирусом файлы очень сложно, и иногда, даже невозможно. В таких случаях, есть смысл попробовать восстановить хотя бы то, что могло быть сохранено в снимке файловой системы, и возможно, потеря информации будет минимальной. В общем случае, задача заключается в том, чтобы подключить теневую копию к системе, в виде логического диска или каталога, с которым можно было бы работать стандартными средствами, например, Проводником или любимым файловым менеджером, вроде Far Manager . Подобная задача легко решается стандартными средствами системы. Для работы с теневыми копиями томов используется системная утилита vssadmin.exe имеющаяся в составе всех операционных систем семейства Windows, начиная с Windows XP. Краткую справку по ее использованию можно получить по команде vssadmin /? , а более подробное описание – по ссылке на список команд CMD, размещенной в конце страницы. Эту утилиту можно использовать для получения имен томов с теневыми копиями. Кроме того, в составе средств командной строки CMD Windows имеется команда для создания символьной ссылки mklink , позволяющая подключить том теневой копии в качестве обычного каталога файловой системы. Подсказку и более полное описание mklink можно получить таким же образом, как и для vssadmin.exe . Поскольку, файлы теневых копий интерпретируются системой как обычные тома, то для получения доступа к их содержимому стандартными средствами, достаточно создать символические ссылки на их корневые разделы. Для этого потребуется узнать имя тома теневой копии.

Для работы с данными командами потребуются права администратора ( запуск от имени администратора).

Получить список теневых копий можно с помощью команды:

vssadmin List Shadows

Для удобства работы с результатами вывода утилиты, можно воспользоваться их перенаправлением в файл:

vssadmin List Shadows > C:shadowsvsslist.txt

Результаты выполнения команды будут записаны в текстовый файл vsslist.txt в каталоге shadows диска C: . Каталог shadows должен быть создан, например, командой md c:shadows .

Пример отображаемой информации:

В данном примере, имеется информация о наличии 2-х теневых копий, созданных службой теневого копирования в среде Windows 10, и их имена томов:

Том теневой копии: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1

Том теневой копии: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2

Зная имена томов, можно подключить их в каталог, например C:shadows командой mklink :

mklink /D C:shadowsshadow1 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1

mklink /D C:shadowsshadow2 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2

Чтобы не набирать вручную имена томов, можно воспользоваться копированием их из текстового файла, полученного перенаправлением вывода команды vssadmin ( C:shadowsvsslist.txt )

Обратите внимание на наличие символа после имени тома, поскольку ссылка должна создаваться на каталог, а не файл (параметр командной строки /D )

После выполнения этих команд, в каталоге C:shadows появятся подкаталоги shadow1 и shadow2 содержащие данные теневых копий. Можно из командной строки перейти в проводник Windows:

Изображение стрелки на ярлыках указывает на то, что это не реальные каталоги файловой системы, а символические ссылки. Дальше, с данными теневых копий можно работать, как с обычным (но защищенным от записи) каталогом файловой системы.

Процесс подключения теневых копий можно немного упростить с помощью командного файла, следующего содержания:

Данный командный файл должен запускаться от имени администратора. При его выполнении создается каталог C:shadows , сохраняется вывод команды vssadmin в файле C:shadowsvsslist.txt , команда FIND выделяет из полученного файла только те строки, которые содержат имя теневой копии, и записывает результат в файл listshadows.txt который можно открыть в блокноте, или с помощью редактора WorPad, затем командой mklink создается символическая ссылка C:shadowsshadow1 на том первой теневой копии и запускается проводник, открывающий папку C:shadows .

При необходимости, можно подключить нужную теневую копию, командой:

mklink /D C:shadowsshadowN \?GLOBALROOTDeviceHarddiskVolumeShadowCopyN

Где N принимает значение номера копии. Копия с наибольшим номером – наиболее свежая. Дату создания каждой копии можно посмотреть в выводе команды vssadmin

Команда mklink не может создать новую ссылку, если указанное в параметрах имя уже существует. Для удаления символьной ссылки можно использовать команду RD :

rd C:shadowsshadow1 – удалить символьную ссылку shadow1

Использование теневых копий томов для восстановления файлов с помощью Recuva.

Важной особенностью Recuva является возможность восстановления файлов из теневых копий томов, автоматически создаваемыми службой теневого копирования Windows. Теневые копии утилита интерпретирует как обычные логические диски, примонтированные к текущей системе. Для отображения теневых копий, нужно включить данный режим – Настройки… – Диски – установить флажок Показывать теневые копии . При восстановлении файлов можно выбрать из списка дисковых устройств либо конкретную теневую копию, либо все, существующие в системе на данный момент времени. В настройках программы Действия должен быть установлен флажок Поиск неудаленных данных (восстановление с поврежденного носителя) .

После завершения анализа, нужно найти файл для восстановления, который имеет состояние Не удалено . Таким образом, мы будем восстанавливать не удаленный файл, а файл, сохраненный в снимке файловой системы. Теневых копий, в зависимости от версии Windows, размера дисковых томов, и системных настроек теневого копирования, может быть до 64 шт. И каждая из них может быть источником восстановления для утилиты Recuva, казалось бы, безвозвратно утерянной информации. Но место на диске, отводимое теневым копиям томов ограничено, поэтому, при необходимости, система удаляет наиболее старые из них без каких-либо действий со стороны пользователя. По этой причине, пострадав от действий вируса-шифровальщика, не стоит надолго откладывать восстановление информации из существующих на данный момент снимков. По крайней мере, можно сначала скопировать файлы из теневых копий на сменный носитель, а затем уже приступать к прочим способам восстановления зашифрованных файлов. В противном случае можно не только не добиться их расшифровки, но и потерять возможность восстановления предыдущего содержимого.

Вирусы-шифровальщики тоже постоянно совершенствуются, и в частности, в последнее время пытаются удалить данные теневых копий, используя команду vssadmin . При включенной системе контроля учетных записей пользователей (UAC) это сопровождается запросом на разрешение выполнение для vssadmin.exe , чего естественно, делать не нужно. В случае же отключения UAC потеря теневых копий гарантирована.

Использование стороннего ПО для доступа в теневым копиям томов.

Существует программное обеспечение, облегчающее доступ пользователей домашних компьютеров к данным теневых копий, как например, ShadowExplorer.

Программа позволяет выбрать диск и любую из соответствующих ему теневых копий. Данные отображаются так же, как в стандартном проводнике. Пользователь имеет возможность выбрать нужный файл или каталог и с помощью контекстного меню, вызываемого правой кнопкой мышки, экспортировать его в нужное место, например, на флэшке.

Скачать ShadowExplorer можно на странице загрузки официального сайта ShadowExplorer.com

Программа распространяется в двух вариантах – Installer, устанавливаемом в системе стандартным образом, и Portable, переносимом.

Однако, наиболее удобным средством работы с данными теневых копий является, по моему личному мнению, простая и компактная утилита от Nirsoft ShadowCopyView. Программа бесплатная, не требует установки в системе, и при необходимости, может быть русифицирована с использованием файла языковой поддержки ShadowCopyView_lng.ini , zip-архив которого можно скачать на странице загрузки программы. Готовую русифицированную версию для 32-разрядных или 64-разрядных Windows можно скачать по ссылкам:

Архивы содержат исполняемый файл ShadowCopyView.exe и файл языковой поддержки ShadowCopyView_lng.ini . Если удалить (переименовать) ini-файл, то интерфейс программы будет англоязычным.

Для восстановления данных с использованием теневых копий можно воспользоваться контекстным меню, вызываемым правой кнопкой мышки, или через основное меню ”Файл – Сохранить выбранные файлы в. ”. В качестве дополнительных возможностей имеется средство поиска файлов и папок (CTRL+F), а также возможность получения сведений об их свойствах:

Вероятность восстановления зашифрованных вирусом данных.

Авторы вредоносных программ постоянно работают над тем, чтобы затруднить самостоятельное восстановление данных, зашифрованных вирусом. При заражении системы принимаются меры для того, чтобы удалить теневые копии или сделать их непригодными для восстановления данных. Эта задача очень легко решается, если вирус работает в среде пользователя с правами администратора при отключенной технологии контроля учетных записей пользователей UAC . В качестве примера приведу алгоритм действий реального вируса-шифровальщика, выполняющегося в системе со стандартными настройками безопасности в контексте учетной записи пользователя, обладающего правами администратора.

В большинстве случаев, заражение системы происходит при открытии вложенного в электронное письмо файла. Первая ошибка, допущенная пользователем – сам факт открытия такого файла. Даже если текст письма довольно правдоподобен, существует возможность просмотра заголовка письма, по которому легко установить достоверность отправителя. Подробная методика:

Тема заражения компьютера через почтовые вложения стара, как компьютерный мир, но тем не менее, остается актуальной, и большинство заражений происходят именно таким образом. В данном конкретном случае, вложенный файл представлял собой архив, содержащий сценарий на языке JavaScript, обеспечивающий загрузку с сервера злоумышленников основного тела вируса и выполнение его в контексте учетной записи текущего пользователя. Исполняемый файл вируса имеет случайное имя и копируется в папку документов пользователя. Пример свойств вирусного процесса, полученный с помощью Far Manager:

В первую очередь, вирусный процесс попытался удалить все теневые копии системы, выполняя команду:

"C:WindowsSystem32vssadmin.exe" Delete Shadows /All /Quiet

В тех случаях, когда вредоносная программа выполняется в контексте учетной записи с административными правами и отключен механизм контроля UAC, теневые копии будут успешно удалены, и пользователь этого даже не заметит. При включенном контроле учетных записей UAC, отобразится оповещение системы безопасности:

Интерфейс командной строки для Microsoft Volume Shadow Copy Service запрашивает разрешение на выполнение с административными привилегиями. Если на данный запрос ответить ”Да”, то результат будет таким же, как и в предыдущем случае – теневые копии будут удалены. Если же ответить ”Нет”, то программный модуль вируса повторит попытку удаления теневых копий и на экране снова отобразится сообщение системы безопасности. Так будет продолжаться до тех пор, пока не будет нажата кнопка ”Да” или вирусный процесс не будет принудительно завершен. Как правило, большинство пользователей, не задумываясь над смыслом своих действий, после нескольких повторившихся запросов, выбирают первый вариант, тем самым лишая себя последней возможности восстановления данных.

Использование теневых копий томов является единственным относительно простым способом полного или частичного восстановления информации, зашифрованной вредоносными программами. Конечно, кроме восстановления с использованием ранее созданных резервных копий, которые практически никогда не имеются в наличии. В подавляющем большинстве случаев, расшифровка невозможна. С мизерной вероятностью может помочь специализированное программное обеспечение антивирусных компаний, специально разработанное для расшифровки файлов, как например утилиты RakhniDecryptor, RannohDecryptor, ScraperDecryptor и т.п. от лаборатории Касперского. Как правило, такие утилиты позволяют расшифровать только те файлы, которые были обработаны устаревшим вирусом. Для ускорения процесса, можно отправить пример зашифрованного файла и требуемый код через специальные формы на сайтах антивирусных компаний. Если у вас есть копия этого же файла в незашифрованном виде, отправьте ее также. Теоретически, это может ускорить появление утилиты-дешифратора.

В качестве средства защиты от вирусов-шифровальщиков можно использовать специальные программы для создания резервных снимков файловой системы и восстановления на основе сделанного ранее снимка, как например, бесплатные Comodo Time Machine и Rollback Restore Rx Home и платная RollBack Restore Rx Pro. Эти программные продукты работают по принципу ”машины времени”, позволяя быстро вернуть состояние файловой системы на момент создания ее снимка (snapshot). В платных версиях подобных программ ( и в бесплатном Comodo Time Machine) существует возможность автоматического создания снимков по расписанию с помощью встроенного планировщика, например, при первой загрузке ежедневно или с заданной периодичностью. Особенностью перечисленных программ является собственная внутренняя система безопасности, отдельный загрузчик ОС и программный движок для создания, хранения и восстановления данных, что создает серьезные трудности для нанесения ущерба при вирусном заражении, в том числе и шифровальщиками.

Comodo Time Machine – описание, примеры использования и ссылки для скачивания.

RollBack Rx Home Edition – краткое описание, ограничения бесплатной версии программы, примеры использования.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться"

Посетителей: 76568 | Просмотров: 98154 (сегодня 1) Шрифт:

В предыдущей статье рассказывалось о возможностях резервного копирования Windows 7 – созданию файловых архивов и дисковых образов. Эта статья посвящена восстановлению файлов из архива и системы из образа диска, а также восстановлению предыдущих версий файлов.

На этой странице:

Восстановление файлов из архива

В Windows 7 вы можете восстанавливать файлы из архива с помощью элемента панели управления Архивация и восстановление.

В главном окне элемента панели управления Архивация и восстановление имеется три варианта восстановления файлов:

• Восстановить мои файлы – позволяет выбрать отдельные файлы и папки для восстановления.
• Восстановить файлы всех пользователей – также позволяет выбрать отдельные файлы и папки, но для всех пользователей компьютера.
• Выбрать другую резервную копию для восстановления файлов – позволяет восстановить файлы всех пользователей, а также выбрать архив, расположенный на сетевом диске.

Ниже рассматривается восстановление "моих" файлов. Первое окно мастера восстановления файлов насыщено опциями, поэтому пойдем по порядку.

Выбор даты архива. По умолчанию используется самый последний архив, о чем система сообщает в окне. Вы можете выбрать более раннюю дату – например, если вам требуется более старая копия файла.

Интерфейс, похоже, рассчитан на очень частое архивирование – по умолчанию отображаются архивы за последнюю неделю (на мой взгляд, логичнее сразу отображать архивы за месяц), но вы можете выбрать и более старые, конечно.

Поиск файлов. Это очень удобное средство, позволяющее моментально найти нужные файлы в архиве.

Обратите внимание, что в окне используется интерфейс проводника, т. е. в результатах поиска вы можете выбрать нужные столбцы свойств файла и сортировать по ним (группировки, впрочем, нет).

Добавление файлов и папок. Наряду с поиском имеется возможность добавления индивидуальных файлов и папок – для каждого действия собственная кнопка.

Список восстанавливаемых файлов. Отображаются имена добавленных папок и отдельных файлов.

Удаление файлов и папок из списка. Файлы и папки удаляются только из списка восстанавливаемых, но не из архива.

Переход к выбору места назначения для восстанавливаемых файлов. Вы можете восстановить файлы:

• в исходное место. В этом случае, если файл с таким же именем существует, система выведет стандартный диалог, предлагающий перезаписать файл, сохранить обе копии в папке или отказаться от копирования.
• в указанное вами место. В этом случае имеется возможность восстановления файлов с сохранением структуры папок, начиная от корня архива (выделено на рисунке).

Определившись с конечным расположением восстанавливаемых файлов, нажмите кнопку Восстановить.

Восстановление предыдущих версий файлов и папок

Представьте, что вы, работая с документом, удалили его часть, сохранили файл и закрыли приложение. А потом вдруг вспомнили, что удалили нечто очень важное. Или представьте, что вы удалили файл мимо корзины, а спустя месяц он вам очень понадобился. В обоих случаях у вас есть хороший шанс восстановить предыдущие версии файлов, которые могут сохраняться в Windows 7 двумя способами:

• файловые архивы, создаваемые с помощью архивации Windows
• теневые копии, создаваемые функцией защиты системы с помощью службы теневого копирования тома

Доступ к восстановлению предыдущих версий осуществляется из свойств файла или папки на вкладке Предыдущие версии.

Восстановление предыдущих версий файлов из архивов

Если файл включен в архив средствами резервного копирования Windows, в его свойствах на вкладке Предыдущие версии вы увидите список версий, а в качестве расположения будет указано Архивация.

Если при восстановлении файла система обнаружит, что файл с таким именем уже существует, вам будет предложено перезаписать существующий файл, сохранить его с другим именем или отказаться от восстановления.

Безусловно, этот же файл можно восстановить из панели управления, но делать это из свойств файла может оказаться удобнее и быстрее.

Восстановление предыдущих версий файлов и папок из теневых копий

Для того чтобы имелась возможность восстановления файлов и папок из теневых копий, должна работать защита системы, которая включается для каждого диска отдельно. Возможно, это не слишком очевидно, но именно параметры защиты системы контролируют работу и объем дискового пространства для службы теневого копирования копирования тома, которая обеспечивает хранение точек восстановления системы и теневых копий файлов и папок.

Теневые копии не хранятся бесконечно долго. Им выделяется определенный процент дискового пространства, и по достижении заданного предела старые копии заменяются новыми. Поскольку о защите и восстановлении системы рассказывает отдельная статья, здесь я рассмотрю только восстановление предыдущих версий.

Из теневых копий вы можете восстановить предыдущие версии:

• отдельных файлов
• папок с файлами

Восстановление отдельного файла из теневой копии почти не отличается от восстановления файла из архива. В свойствах файла на вкладке Предыдущие версии вы увидите список версий, а в качестве расположения будет указано Точка восстановления.

В отличие от файла, сохраненного в архиве, в этом случае вам будут доступны варианты открытия и копирования файла в выбранную вами папку.

Помимо отдельных файлов, из теневых копий можно восстанавливать папки. Список версий можно увидеть в свойствах папки на вкладке Предыдущие версии.

Вы можете открыть папку, копировать ее в другое место или восстановить на старом месте. При восстановлении, как и в случае с файлами из архивов, система предупредит вас, если в папке окажется файл с таким же именем.

Восстановление удаленных файлов из теневых копий

Если вам требуется восстановить предыдущую копию существующего файла, достаточно перейти в свойствах файла на вкладку Предыдущие версии. А что делать в том случае, если файл удален? У вас есть два пути:

• восстановление папки
• поиск файла

Из теневой копии вы можете восстановить папку, в которой находился файл, как описано выше. Если вы не помните точного расположения файла, но примерно представляете, где в дереве папок он находился, можно восстановить родительскую папку.

Однако прежде чем восстанавливать папку, можно попробовать найти удаленный файл с помощью поиска Windows. Давайте рассмотрим последовательность действий на примере. Я удалил файл support_center01.png, а теперь он мне понадобился. Я знаю, в какой папке он находился, и ищу файл в ней (а если бы не знал точное расположение, искал бы в ближайшей родительской).

Теневые копии не индексируются, а удаленный файл мгновенно исключается из индекса, следовательно поиск его не находит. Поэтому нужно искать в неиндексируемых местах, щелкнув Компьютер. Поиск неиндексируемых файлов выполняется дольше, но ваше терпение будет вознаграждено.

В теневых копиях нашелся не только нужный мне PNG-файл, но и давным давно удаленный BMP-файл с тем же именем, о котором я и думать забыл.

Почему теневые копии могут отсутствовать

Прочитав о предыдущих версиях файлов, вы, возможно, захотите проверить, создаются ли они в вашей системе. Если вы не обнаружили предыдущих версий, это может означать, что:

• отключена защита системы, т.е. отстутствуют точки восстановления, где хранятся предыдущие версии системных файлов
• для защиты системы выделено незначительное дисковое пространство, поэтому для теневых копий пользовательских файлов не хватает места
• файл или содержимое папки не изменялись – в этом случае теневые копии не создаются

Подводя итог рассказу о восстановлении файлов, я хочу подчеркнуть, что технологии Windows связаны между собой. Наилучшие шансы на восстановление файлов у вас будут в том случае, если вы используете архивацию Windows наряду с защитой системы. Вы можете повысить эти шансы, создавая резервные образы системы, о восстановлении которых и пойдет речь ниже.

Восстановление системы из заранее созданного образа

Во время установки Windows 7 на жестком диске автоматически создается служебный раздел, содержащий среду восстановления Windows RE (Recovery Environment). Используя этот раздел, вы можете:

• загрузиться в среду восстановления с жесткого диска
• создать диск восстановления системы и загрузиться с него

Выполнив загрузку в среду восстановления, вы сможете восстановить систему из заранее созданного образа.

Внимание! Подробный рассказ о создании диска восстановления системы, среде восстановления и вариантах загрузки в нее вы найдете в статье Использование среды восстановления Windows RE в Windows 7. Ниже рассматривается только загрузка в Windows RE с жесткого диска.

Загрузка в среду восстановления с жесткого диска

Для того чтобы войти в меню Дополнительные варианты загрузки, нажмите F8 после включения компьютера, но до загрузки операционной системы.

Выберите первый пункт меню – Устранение неполадок компьютера и нажмите Ввод. Запустится среда восстановления Windows, где первым делом вам будет предложено выбрать раскладку клавиатуры.

Выберите язык, на котором у вас задан пароль административной учетной записи, поскольку на следующем этапе его потребуется ввести.

После ввода пароля вы увидите меню с вариантами восстановления, одним из которых является Восстановление образа системы.

Восстановление образа системы из среды Windows RE

В среде Windows RE имеются различные средства восстановления системы.

Щелкните ссылку Восстановление образа системы, и Windows 7 автоматически найдет последний созданный образ и предложит восстановить систему из него.

Вы также можете выбрать другой образ для восстановления. Выбрав образ, нажмите кнопку Далее, чтобы начать процесс восстановления.

Вы можете отформатировать диски и создать разделы, при этом у вас имеется возможность исключить диски из операции форматирования (диск, содержащий архивный образ автоматически исключается). Также, вы можете просто восстановить образ на имеющемся системном разделе. За кнопкой Дополнительно скрывается еще две опции.

Определившись с параметрами восстановления, нажмите кнопку Далее, а затем, в последнем окне мастера, нажмите кнопку Готово. Windows 7 предупредит вас о том, что все данные будут удалены с раздела, и запустит процесс восстановления.

Рекомендация по восстановлению системы из образа

Если у вас нет установочного диска Windows 7, обязательно создайте диск восстановления системы. Этот диск позволит вам восстановить резервный образ системы даже в том случае, если на жестком диске окажется поврежденным служебный раздел Windows RE.

Далеко не всегда необходимо устанавливать дополнительные сторонние программы в Windows 7, чтобы восстановить удаленные данные или данные которые подверглись перезаписи. Семерка позволяет сделать это собственными средствами. Если вы по неосторожности удалили или перезаписали файлы, предположим документы Microsoft Office или семейные фотографии и хотите их восстановить или вернуть к первоначальному состоянию, то не спешите устанавливать для этой процедуру специально ПО.

Восстановление данных Windows 7 возможно средствами самой системы, для этого разработчики Microsoft добавили в эту версию операционной системы удобный и простой в использовании инструмент – теневые копии (Volume Shadow Copy Service, сокращенно VVS). C помощью теневых копий можно быстро, всего парой кликов мышкой, реанимировать удаленные или перезаписанные файлы, хранящиеся на жестком диске вашего компьютера.

Не стоит путать теневые копии с полной резервной копией Windows 7. Это инструмент не заменяет полноценное резервное копирование, а всего на всего хранит дубликаты тех файлов, которые подверглись изменению или были удалены. В “семерке” данный инструмент работает по принципу точек восстановления. Все вы наверное знаете об этих точка, с помощью которых можно откатить систему на определенный момент. Так вот, функция VVS создает теневые копии данных, например перед обновлением ОС. Это очень удобный инструмент восстановления данных Windows 7, но только в том случае, если вы случайно удалили и перезаписали файлы. Volume Shadow Copy Service может восстановить до шестидесяти четырех предыдущих копий каждого удаленного, или измененного файла.

Восстановление файлов с помощью теневых копий Windows 7

Чтобы приступить к восстановлению файлов из теневых копий, выполните следующие действия. Щелкните правой клавишей мыши по нужному файлу, или каталогу, в котором находятся данные для восстановления. Затем, в открывшемся контекстном меню выберите пункт “Свойства”, затем перейдите во вкладку “Предыдущие версии”. Если теневые копии для файла или папки имеются в системе, то вы увидите их список. К сожалению мы не смогли найти в нашей системе теневых копий файлов, так как она практически свежая, то есть установленная специально для сайта winsetting.ru.

Чтобы восстановить файл из нужной копии, достаточно просто кликнуть по нему два раза левой кнопкой мыши, и он будет восстановлен.

Стоит отметить, что пользователь может настроить данный инструмент. Например, вы можете сами определить место хранения на жестком диске теневых копий файлов. Кроме того, нажав сочетание клавиш “Win+Pause” и перейдя в раздел “Защита системы” вы можете указать Windows 7 защищать диски или разделы жесткого диска и определить для каждого из них количество памяти, которой ОС может воспользоваться для этого.