Работа с теневыми копиями Windows. Предыдущие версии файлов. Почему теневые копии не спасают от большинства шифровальщиков
Надеюсь, что вы создаёте теневые копии, всего диска, не на том же диске, что и система, чтобы их просматривать?
Обычно, эти копии невозможны для просмотра, как и файлы архивации, но видно, что место занято.
Управление пространством для теневого копированияПространство для хранения теневых копий выделяется отдельно на рабочих томах и на резервном диске для полного копирования системы. Используемое, выделенное и максимальное пространство для теневых копий можно проверить путем запуска следующей команды из командной строки с повышенными привилегиями:
VSSAdmin list ShadowStorage
Используемое пространство - пространство, занятое теневыми копиями в настоящий момент; выделенное - пространство, зарезервированное для теневых копий (и не используемое для других задач); максимальное - верхний порог, дальше которого объем теневых копий не может расти.
Выделение пространства для теневых копий происходит автоматически, а значит, оно не может быть установлено пользователем. Новое пространство выделяется фиксированными кусками по мере занятия ранее выделенного пространства. По этой причине значение, указываемое для используемого пространства, всегда ниже, чем для выделенного.
Для рабочих томов максимальное допустимое пространство для хранения теневых копий определяется при создании первой теневой копии - обычно при первом включении средства восстановления системы и создания точки восстановления во время установки. Значение устанавливается на 30% свободного пространства или 15% от общего размера тома - что меньше. Этот максимальный размер статичен. Он не меняется ни при увеличении, ни при уменьшении свободного пространства, ни при изменении размера тома.
Однако размер можно подправить вручную путем использования средства VSSAdmin из командной строки с повышенными привилегиями. Например, чтобы увеличить максимальный размер пространства хранения на диске C:\ до 15 ГБ, нужно выполнить следующую команду:
VSSAdmin Resize ShadowStorage /For=C: /On=C: /MaxSize=15GB
Это средство впервые появилось на Windows Server®, где теневые копии определенного тома можно было держать на другом томе. В Windows Vista теневые копии тома хранятся на том же томе. Следовательно, копируемый том и том, на котором копии находятся, должны совпадать.
С другой стороны, объем пространства для хранения теневых копий на диске назначения полного резервного копирования компьютера зафиксирован на 30% от полного объема диска. Это значение контролируется программой резервного копирования компьютера и не может быть изменено вручную. Данное пространство хранения теневых копий используется для хранения добавочных копий, создаваемых средством полного резервного копирования компьютера.
До 64 теневых копий могут находиться на томе в один момент времени, если им хватит места в области хранения теневых копий. После того как максимальное ограничение по объему достигнуто, более старые теневые копии удаляются, чтобы освободить место для более новых. Следовательно, старые точки восстановления для средства восстановления системы удаляются при достижении предела хранимого в рабочем томе объема, а старые резервные копии, созданные CompletePC Backups удаляются при достижении этого предела на резервном диске. Вдобавок, хранение и правка иных данных на резервном диске могут вмешаться в нормальный процесс «старения» резервных копий, приводя к их ускоренному удалению.
Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.
Служба "Теневое копирование тома" (Volume Shadow Copy Service, VSS) сохраняет точки восстановления и поддерживает резервирование и восстановление файлов на основании механизма получения моментальных снимков файлов и данных (snapshot), именуемые теневыми копиями. VSS создаёт статические копии открытых файлов и приложений, которые при других обстоятельствах являются слишком непостоянными для резервирования.
Звучит убедительно, но VSS отнимает большое количество дискового пространства. Для начала воспользуйтесь командой "vssadmin", чтобы посмотреть, сколько места занимают текущие теневые копии тома с помощью команды "vssadmin list shadowstorage". (Для более подробной информации нажмите кнопку "Start", в строке поиска введите cmd, а затем для получения помощи введите vssadmin /?).
На приведённом ниже скриншоте активированы точки восстановления для дисков C: и D; на этих же дисках есть также теневые копии. Посмотрим, сколько дискового пространства тратится на теневые копии этих дисков: 22,079 Гбайт на диске D: (общий объём: 149 Гбайт; объём, занимаемый теневыми копиями = 15,5%) и 64,448 Гбайт на диске C: (общий объём: 465 Гбайт; объём, занимаемый теневыми копиями = 14,9%).
В какой-то момент мы обнаружили всего 230 Гбайт свободного пространства на 465-Гбайт диске C:, хотя мы точно знали, что на нём содержится всего 120 Гбайт файлов. Поиски пропавших 115 Гбайт привели нас к службе Volume Shadow Copy Service. Мы снова воспользовались командой "vssadmin list shadows" (мы не стали приводить здесь результат её выполнения, поскольку он очень длинный: там перечислены все теневые копии на диске) и выяснили, что одна из теневых копий занимает 85 Гбайт! Поскольку мы недавно копировали большую коллекцию музыкальных файлов со старого 200-Гбайт USB-накопителя на наш новый более быстрый диск SATA, служба VSS, очевидно, создала теневую копию тех файлов одновременно с их копированием в папку, доступную пользователям.
Как избавиться от этой ненужной теневой копии? По умолчанию Vista выделяет теневым копиям 15% дискового пространства, однако операционная система строго не ограничивает общий объём теневых копий. Если теневой копии требуется больше места, то Vista с радостью его предоставит. С помощью утилиты командной строки vssadmin можно установить чёткий лимит дискового пространства для теневых копий. Вот как это можно сделать:
Vssadmin resize shadowstorage /For=T: /On=T: /MaxSize=Num
Вместо буквы "T" подставьте название своего диска и замените "Num" на число равное 15% ёмкости этого диска. В случае с нашим диском C: эта команда будет выглядеть так:
Vssadmin resize shadowstorage /For=C: /On=C: /Maxsize=69GB
Прежде чем воспользоваться этим трюком, сделайте резервную копию своей системы и создайте точку восстановления сразу же после перезагрузки системы. После выполнения приведённой выше команды, Vista автоматически сначала удаляет самые старые точки восстановления до тех пор, пока не достигнет заданного вами предела.
Далеко не всегда необходимо устанавливать дополнительные сторонние программы в Windows 7, чтобы восстановить удаленные данные или данные которые подверглись перезаписи. Семерка позволяет сделать это собственными средствами. Если вы по неосторожности удалили или перезаписали файлы, предположим документы Microsoft Office или семейные фотографии и хотите их восстановить или вернуть к первоначальному состоянию, то не спешите устанавливать для этой процедуру специально ПО.
Восстановление данных Windows 7 возможно средствами самой системы, для этого разработчики Microsoft добавили в эту версию операционной системы удобный и простой в использовании инструмент – теневые копии (Volume Shadow Copy Service, сокращенно VVS). C помощью теневых копий можно быстро, всего парой кликов мышкой, реанимировать удаленные или перезаписанные файлы, хранящиеся на жестком диске вашего компьютера.
Не стоит путать теневые копии с полной резервной копией Windows 7. Это инструмент не заменяет полноценное резервное копирование, а всего на всего хранит дубликаты тех файлов, которые подверглись изменению или были удалены. В “семерке” данный инструмент работает по принципу точек восстановления. Все вы наверное знаете об этих точка, с помощью которых можно откатить систему на определенный момент. Так вот, функция VVS создает теневые копии данных, например перед обновлением ОС. Это очень удобный инструмент восстановления данных Windows 7, но только в том случае, если вы случайно удалили и перезаписали файлы. Volume Shadow Copy Service может восстановить до шестидесяти четырех предыдущих копий каждого удаленного, или измененного файла.
Восстановление файлов с помощью теневых копий Windows 7
Чтобы приступить к восстановлению файлов из теневых копий, выполните следующие действия. Щелкните правой клавишей мыши по нужному файлу, или каталогу, в котором находятся данные для восстановления. Затем, в открывшемся контекстном меню выберите пункт “Свойства”, затем перейдите во вкладку “Предыдущие версии”. Если теневые копии для файла или папки имеются в системе, то вы увидите их список. К сожалению мы не смогли найти в нашей системе теневых копий файлов, так как она практически свежая, то есть установленная специально для сайта сайт.
Чтобы восстановить файл из нужной копии, достаточно просто кликнуть по нему два раза левой кнопкой мыши, и он будет восстановлен.
Стоит отметить, что пользователь может настроить данный инструмент. Например, вы можете сами определить место хранения на жестком диске теневых копий файлов. Кроме того, нажав сочетание клавиш “Win+Pause” и перейдя в раздел “Защита системы” вы можете указать Windows 7 защищать диски или разделы жесткого диска и определить для каждого из них количество памяти, которой ОС может воспользоваться для этого.
Здравствуйте, друзья! Вот и добрался я в очередной раз до карандаша и бумаги. Точнее до ноутбука и виртуальной машины. Сегодня хочу рассказать о таком безусловно интересном и полезном явлении, как предыдущие версии файлов или теневые копии Windows .
Продемонстрируем на практике работу с теневыми копиями.
Как восстановить удалённые файлы из теневых копий Windows
Вот у нас имеется рабочий стол Windows. На нём две папки screen и zip, которые мы будем удалять и восстанавливать. Третья папка – ShadowExplorer – программа, при помощи которой я буду работать с теневыми копиями. Программу я , берите и пользуйтесь! Итак, поскольку предыдущие версии файлов (теневые копии) используют контрольные точки восстановления, нам потребуется создать как минимум одну точку. Для этого перейдём в свойства системы, на вкладку “Защита системы”. Нам важно, чтобы в параметрах защиты стоял режим “Включено”, в настройках также можно задать резервируемый объём диска в процентном соотношении под эти контрольные точки, а также моментально создать точку восстановления (кнопка “Создать”)
Нажимаем “Создать”, вводим имя контрольной точки:
Процесс создания контрольной точки (делее – КТ
) занимает некоторое время.
Конечно, можно прибегнуть к программам восстановления данных, тем более, что объект удалили весьма недавно и есть вероятность его восстановить. Но что, если это не так? Что, если программы восстановления данных не дали нужного результата?
На помощь приходят данные из “теневых копий “. Запустим программу ShadowExplorer. Мы увидим в главном окне выпадающие списки – в первом – диск, на котором создаются теневые копии, во втором – дата создания снимка системы.
Так как снимок системы, как и логический раздел у нас в единственном экземпляре, то откроются именно нужные нам данные. В дереве каталогов развернём нужную директорию и увидим, что наши, ныне удалённые каталоги там ещё остались! Кликнем правой кнопкой на нужном каталоге и нажмём “Export”. 
И вот, объект восстановлен! Конечно это не универсальный способ, но тем не менее, вполне жизнеспособный и полезный.
Где хранятся теневые копии Windows
Теневые копии Windows хранятся в каталоге “System Volume Information “, в файлах с именами, выглядящими как {GUID}{GUID2} , где {GUID} – идентификатор копии, {GUID2} – идентификатор раздела.
Работа с теневыми копиями посредством shadowcopyview
От Nirsoft есть отличный инструмент, позволяющий довольно удобно работать с теневыми копиями. Имя этой программке ShadowCopyView. Её я также прикладываю к статье, при желании можете скачать актуальную версию с сайта разработчиков – она бесплатная.
В главном окне отображаются теневые копии (в верхней части), ниже – их содержимое. Также есть пункт контекстного меню “Copy Selected Files To… “, позволяющий вытащить из теневой копии содержимое.
Работа с теневыми копиями из командной строки
Но что делать, если под рукой не оказалось каких-либо инструментов? Не беда, можно подмонтировать том теневой копии посредством командной строки и открыть теневую копию в качестве каталога в проводнике.
Первым делом, нам нужно получить список теневых копий:
Все теневые копии будут выведены в подобном виде. Здесь нас интересует дата создания и поле “Том теневой копии”. Скопируем эту строку и создадим символическую ссылку на этот каталог:
> mklink /D C:\old \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
Внимание! Слеш в конце обязателен, на скрине я снял без слеша и не получилось войти в каталог. Команда mklink создаёт ссылку C:\old на каталог (ключ /D) резервной копии.
Посмотрим, как это выглядит в проводнике:
Но это вовсе не значит, что у нас на диске теперь записано в 2 раза больше информации. Эта информация помечена как свободная, но она не будет перезаписываться до тех пор, пока не исчерпается свободное место, отделённое на этапе настройки службы резервного копирования. Помните, мы там указывали, какой процент диска выделять под резервные копии. Только после того, как всё оставшееся место будет исчерпано, будут затираться теневые копии изменённых файлов.
Друзья! Вступайте в нашу
Теневое копирование - это новая функция, появившаяся в Windows ХР и Windows Server 2003 и делающая возможной архивацию открытых файлов.
Когда приходится архивировать открытые файлы? Пусть, например, на одном из рабочих мест вашего предприятия все еще работает старинная бухгалтерская программа. Собственного механизма архивации она не имеет и данные способна держать только на локальном компьютере. Об архивировании ее базы данных придется думать администратору, то есть вам.
Во время архивирования этих файлов по сети компьютер бухгалтера должен быть включен, но программа работать не должна, чтобы файлы не оставались открытыми. Но эта программа написана как автоматизированное рабочее место, стартует при включении компьютера и завершается при его выключении, и вам остается только проклинать ее автора.
Выходом из этой ситуации станет установка на рабочее место бухгалтера Windows XP Professional (считаем, что привычная программа будет работать и под этой операционной системой). После этого вы сможете архивировать все рабочие файлы этой программы без оглядки на то, завершена она или нет.
Теневое копирование и общие папки
С помощью неё можно вернуться к предыдущей версии файла в разделяемой папке на сервере. Гораздо важнее следующий факт. В предыдущих версиях Windows (включая Windows 2000) удаление файла из общей папки по сети приводило к его безвозвратной потере - он не оставался даже в Корзине. А в ОС Windows Server 2003, удалив файл, вы сможете восстановить его предыдущую версию, которая может оказаться идентична текущей.
По умолчанию теневое копирование общих папок выключено. Включается оно на сервере для раздела, на котором физически расположены общие папки. Это должен быть раздел с файловой системой NTFS.
1.Зарегистрируйтесь на СЕРВЕРЕ как администратор. Откройте окно свойств диска С:.
2.Перейдите на вкладку Теневое копирование. Вы увидите, что эта функция отключена.
3.Нажмите кнопку Параметры и отредактируйте свойства текущего раздела. Вы можете указать, как часто будет копироваться раздел (по умолчанию два раза в день) и какое место на диске отводится под копии. Рекомендуется оставить значения по умолчанию. Закройте диалоговое окно нажатием кнопки ОК.
4.Нажмите кнопку Разрешить и в следующем диалоговом окне подтвердите своё решение нажатием кнопки Да.
Сразу после этого начнется создание первой копии раздела. Информация об этом действии в форме даты и времени отобразится в нижней части окна.
Примечание.
Не обязательно копировать раздел на тот же самый физический диск. Если у вас установлено несколько физических дисков, вы существенно повысите производительность дисковой подсистемы, направив копию на другой диск. Единственное условие - этот диск должен быть отформатирован в файловой системе NTFS.
Организация теневого копирования на рабочей станции
Клиентские компьютеры под управлением Windows XP Professional не могут использовать функцию теневого копирования сразу. Сначала на них нужно установить клиентское программное обеспечение. Установочный файл TWCLI32 .MSI находится на сервере (под управлением Windows Server 2003) в папке %SYSTEMROOT%\system32\clients\twclient\x86.
1.Зарегистрируйтесь на КОМПЬЮТЕРЕ как администратор.
2.Запустите Проводник и в адресной строке введите путь \\ имя СЕРВЕРА \
с$\windows\system32\clients\twclient\x86\twcli32.msi.
Установится клиент Previous Versions Client.
Клиенты для операционных систем Windows 2000 Server с установленным пакетом обновления SP3 и далее, Windows 2000 Professional и Windows98 можно скачать с сайта Microsoft по адресу http: / /www. microsoft. com/windowsserver203/downloads/shadowcopyclient.mspx.
Для операционных систем Windows NT 4.0 такого клиента не существует. Для систем ниже, чем Windows XP, клиентскую программу нужно установить как на клиентский компьютер, так и на сервер с системой Windows Server 2003.
Применение теневого копирования
Чтобы воспользоваться благами теневого копирования:
1.Зарегистрируйтесь на КОМПЬЮТЕРА как рядовой пользователь.
2.Откройте папку своего подразделения в общем хранилище документов.
3.Отобразите свойства любого файла (лучше текстового). Перейдите на вкладку Предыдущая версия. С момента установки клиента теневого копирования ни одной предыдущей версии еще не создавалось, поэтому список пуст.
4.Откройте файл, отредактируйте его и сохраните под тем же именем.
5.Повторите п.З. Теперь на вкладке Предыдущая версия вы увидите предыдущую версию файла с датой ее создания.
6. Вы можете просмотреть ее, нажав кнопку Отобразить. Копия документа предназначена только для чтения, и переименовать и сохранить ее невозможно. Чтобы восстановить предыдущую версию под другим именем, нужно сначала скопировать ее в другое место, нажав кнопку Копировать.
Если вы по ошибке удалили файл из общей папки и хотите его восстановить, поступайте следующим образом:
1.С клиентского компьютера отобразите свойства папки, в которой был документ, и перейдите на вкладку Предыдущая версия.
2.Нажмите кнопку Отобразить и просмотрите содержимое предыдущей версии документа. Если оно вас устраивает, создайте новый документ и скопируйте в него содержимое через буфер обмена.
Если вы ошибочно отредактировали и сохранили документ, то можете восстановить его правильную версию, нажав кнопку Восстановить на вкладке Предыдущая версия.
Таким образом, функция теневого копирования помогает пользователям быстро восстановить их документы, находящиеся в разделяемых папках, в следующих случаях:
* при неумышленном удалении файлов;
* при неумышленном изменении содержания файлов (использование команды Сохранить вместо Сохранить как);
* при повреждении файлов.
Обратите внимание, что копируется весь раздел, а не только папки, к которым на момент копирования открыт сетевой доступ. Это значит, что, если после создания копии вы предоставите доступ к новой папке, предыдущие версии ее файлов будут доступны пользователям с момента открытия доступа.
