如何使用Windows卷影拷贝服务恢复文件和文件夹
原文来自FreeBuf.COM: 如何使用Windows卷影拷贝服务恢复文件和文件夹
0X01 什么是卷影拷贝?
从Windows XP SP2和Windows Server 2003开始,微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务(Volume Shadow Copy Service-VSS)。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的当前状态进行备份(或快照),需要注意的是,在这个过程中,即使文件处于打开状态下该服务仍然可以直接进行文件备份。
当这些备份文件被创建之后,它们会被保存在一个特殊的容器中,即卷影拷贝(Volume Shadow Copy)。备份软件、实用工具或Windows系统都可以使用这些卷影拷贝来恢复已被删除或以某种形式修改后的文件。当我们使用卷影拷贝服务创建了一个备份文件时,它使用的是一种基于版本的方法备份的,即每次只备份文件中发生了变化的地方,而不是备份整个文件。因此,这种机制将允许我们查看到同一文件的不同版本,而不需要占用大量的磁盘空间。
如果有需要的话,这项技术可以帮助我们恢复被删除或被修改的文件。但是除此之外,我还发现这项服务可以用来恢复旧的游戏存档、已被勒索软件加密的文件、或自己不小心删除的文件。
0X02 使用ShadowExplorer从卷影拷贝中恢复文件或文件夹
ShadowExplorer下载地址:【点我下载】
下载好这个工具之后,打开它,你将会看到一个类似资源管理器的界面,其中包含有各个驱动器下的卷影拷贝以及相应的修改日期和文件类型。你可以选择驱动器和创建时间来快速寻找需要恢复的文件: