Skyggekopi. Windows Server

Det er ikke mange måter å gjenopprette filer kryptert av et løsepenge-angrep uten å betale løsepenger for dem. Hvis vi er heldige, kan det være noen gratisverktøy for å gjenopprette dem, men et mer realistisk alternativ er å gjenopprette filene dine fra sikkerhetskopiene. Imidlertid har ikke alle sikkerhetskopier av filene sine, selv om Windows tilbyr en veldig nyttig funksjon kjent som Shadow Copy, som i et nøtteskall er en sikkerhetskopi av filene dine. Cyberkriminelle har visst om det i lang tid, og derfor, noen måneder etter at løsepenge-angrep ble populære, er det første de gjør når de infiserer datamaskinen din å slette skyggekopien av filene dine før de begynner å kryptere informasjonen din.

Det finnes en rekke teknologier som kan brukes til å stoppe løsepenge-angrep: noen er nesten ubrukelige, for eksempel signaturer eller heuristikk (dette er de første tingene som skadevareforfattere sjekker før de slipper dem), andre kan noen ganger være mer effektive, men til og med en kombinasjon Alle disse teknikkene garanterer ikke at du vil være beskyttet mot alle slike angrep.

For mer enn 2 år siden brukte antiviruslaboratoriet PandaLabs en enkel, men ganske effektiv tilnærming: hvis en prosess prøver å slette skyggekopier, så har vi mest sannsynlig (men ikke alltid forresten) å gjøre med et ondsinnet program, og de fleste sannsynligvis med kryptograf I disse dager fjerner de fleste løsepengevarefamilier skyggekopier, fordi hvis du ikke gjør det, vil ikke folk betale løsepenger når de kan gjenopprette filene sine gratis. La oss se på hvor mange infeksjoner som ble stoppet i laboratoriet vårt takket være denne tilnærmingen. Det er logisk å anta at dette tallet bør vokse eksponentielt, fordi Antallet løsepenge-angrep som bruker denne teknikken, vokser også raskt. For eksempel, her er antallet angrep vi har blokkert de siste 12 månedene ved å bruke vår tilnærming:

Men i diagrammet ser vi akkurat det motsatte av hva vi forventet. Hvordan er dette mulig? Faktisk er det en veldig enkel forklaring på dette "fenomenet": vi bruker denne tilnærmingen som en "siste utvei" når ingen andre sikkerhetsteknikker kunne oppdage noe mistenkelig, og derfor utløses denne regelen, som blokkerer løsepengevareangrepet. Vi bruker også denne tilnærmingen for interne formål, som et resultat av at vi kan analysere mer detaljert de angrepene som ble blokkert på "siste linje", og deretter forbedre alle tidligere sikkerhetsnivåer. Vi bruker også denne tilnærmingen for å evaluere hvor godt eller dårlig vi stopper løsepengevare: med andre ord, jo lavere verdier, jo bedre presterer kjerneteknologiene våre. Så, som du kan se, øker effektiviteten i arbeidet vårt.

Original artikkel.

Den forrige artikkelen snakket om sikkerhetskopieringsmulighetene til Windows 7 - å lage filarkiver og diskbilder. Denne artikkelen er viet til å gjenopprette filer fra et arkiv og et system fra et diskbilde, samt å gjenopprette tidligere versjoner av filer.

På denne siden:

Gjenopprette filer fra et arkiv

I Windows 7 kan du gjenopprette filer fra et arkiv ved å bruke kontrollpanelelementet.

I hovedvinduet til kontrollpanelelementet er det tre alternativer for filgjenoppretting:

  • Gjenopprett filene mine- lar deg velge individuelle filer og mapper for gjenoppretting.
  • Gjenopprett filer til alle brukere- lar deg også velge individuelle filer og mapper, men for alle datamaskinbrukere.
  • Velg en annen sikkerhetskopi for å gjenopprette filer- lar deg gjenopprette filer til alle brukere, samt velge et arkiv som ligger på en nettverksstasjon.

Nedenfor diskuterer vi gjenoppretting av "mine" filer. Det første vinduet i veiviseren for filgjenoppretting er fullt av alternativer, så la oss gå i rekkefølge.

Velge arkivdato. Som standard brukes det nyeste arkivet, som systemet rapporterer i vinduet. Du kan velge en tidligere dato - for eksempel hvis du trenger en eldre kopi av filen.

Grensesnittet ser ut til å være designet for svært hyppig arkivering - som standard vises arkiver for den siste uken (etter min mening er det mer fornuftig å umiddelbart vise arkiver for måneden), men du kan selvfølgelig velge eldre.

Søk etter filer. Dette er et veldig praktisk verktøy som lar deg umiddelbart finne filene du trenger i arkivet.

Vær oppmerksom på at vinduet bruker et utforskergrensesnitt, det vil si at du i søkeresultatene kan velge de ønskede kolonnene med filegenskaper og sortere etter dem (men det er ingen gruppering).

Legge til filer og mapper. Sammen med søket er det mulig å legge til individuelle filer og mapper - hver handling har sin egen knapp.

Liste over gjenopprettelige filer. Navnene på lagt til mapper og individuelle filer vises.

Fjerner filer og mapper fra listen. Filer og mapper slettes bare fra listen over gjenopprettelige, men ikke fra arkivet.

Fortsett til å velge destinasjonen for de gjenopprettede filene. Du kan gjenopprette filer:

  • til det opprinnelige stedet. I dette tilfellet, hvis det finnes en fil med samme navn, vil systemet vise en standard dialogboks som ber deg om å overskrive filen, lagre begge kopiene i en mappe eller nekte kopiering.
  • til stedet du spesifiserte. I dette tilfellet er det mulig å gjenopprette filer mens du opprettholder mappestrukturen, med start fra arkivroten (uthevet i figuren).

Etter å ha bestemt deg for den endelige plasseringen av filene som skal gjenopprettes, klikker du på knappen Restaurere.

Gjenopprette tidligere versjoner av filer og mapper

Tenk deg at mens du jobbet med et dokument, slettet du deler av det, lagret filen og lukket applikasjonen. Og så husket de plutselig at de hadde slettet noe veldig viktig. Eller forestill deg at du slettet en fil forbi søppelbøtta, og en måned senere trengte du den virkelig. I begge tilfeller har du en god sjanse til å gjenopprette tidligere versjoner av filer som kan lagres i Windows 7 på to måter:

  • filarkiver opprettet ved hjelp av Windows Backup
  • skyggekopier opprettet av System Protection ved hjelp av Volume Shadow Copy Service

Gjenopprett tidligere versjoner er tilgjengelig fra fil- eller mappeegenskapene på fanen Tidligere versjoner.

Gjenopprette tidligere versjoner av filer fra arkiver

Hvis filen er inkludert i arkivet ved hjelp av Windows-sikkerhetskopieringsverktøy, i egenskapene på fanen Tidligere versjoner Arkivering.

Hvis systemet oppdager at en fil med samme navn allerede eksisterer når du gjenoppretter en fil, vil du bli bedt om å overskrive den eksisterende filen, lagre den med et annet navn eller nekte gjenoppretting.

Selvfølgelig kan den samme filen gjenopprettes fra kontrollpanelet, men å gjøre dette fra filegenskapene kan være mer praktisk og raskere.

Gjenopprette tidligere versjoner av filer og mapper fra skyggekopier

For å kunne gjenopprette filer og mapper fra skyggekopier, må systembeskyttelsen fungere, som er slått på for hver disk separat. Det er kanskje ikke så tydelig, men styrer driften og mengden diskplass for Volume Copy Shadow Copy-tjenesten, som gir lagring for systemgjenopprettingspunkter og skyggekopier av filer og mapper.

Skyggekopier lagres ikke på ubestemt tid. De tildeles en viss prosentandel av diskplass, og når den angitte grensen er nådd, erstattes gamle kopier med nye. Siden den snakker om systembeskyttelse og gjenoppretting, vil jeg her kun vurdere å gjenopprette tidligere versjoner.

Fra skyggekopier kan du gjenopprette tidligere versjoner:

  • separate filer
  • filmapper

Å gjenopprette en individuell fil fra en skyggekopi er nesten det samme som å gjenopprette en fil fra et arkiv. I fanen filegenskaper Tidligere versjoner du vil se en liste over versjoner, og plasseringen vil bli indikert Gjenopprettingspunkt.

I motsetning til en fil som er lagret i et arkiv, vil du i dette tilfellet ha alternativer for å åpne og kopiere filen til en mappe du ønsker.

I tillegg til individuelle filer, kan du gjenopprette mapper fra skyggekopier. Listen over versjoner kan sees i egenskaper mapper på fanen Tidligere versjoner.

Du kan åpne mappen, kopiere den til en annen plassering eller gjenopprette den til den gamle plasseringen. Ved gjenoppretting, som for filer fra arkiver, vil systemet varsle deg om det er en fil med samme navn i mappen.

Gjenopprette slettede filer fra skyggekopier

Hvis du trenger å gjenopprette en tidligere kopi av en eksisterende fil, går du bare til fanen i filegenskapene Tidligere versjoner. Hva gjør jeg hvis filen slettes? Du har to måter:

  • mappegjenoppretting
  • filsøk

Fra skyggekopien kan du gjenopprette mappen der filen var plassert, som beskrevet ovenfor. Hvis du ikke husker den nøyaktige plasseringen til en fil, men har en grov ide om hvor den var i mappetreet, kan du gjenopprette den overordnede mappen.

Før du gjenoppretter mappen, kan du imidlertid prøve å finne den slettede filen ved hjelp av Windows Search. La oss se på rekkefølgen av handlinger ved å bruke et eksempel. Jeg slettet filen support_center01.png, og nå trenger jeg det. Jeg vet hvilken mappe den var i, og jeg ser etter filen i den (og hvis jeg ikke visste den nøyaktige plasseringen, ville jeg se i nærmeste overordnede).

Skyggekopier indekseres ikke, og den slettede filen blir umiddelbart ekskludert fra indeksen, så søket finner den ikke. Derfor må du søke på ikke-indekserte steder ved å klikke Datamaskin. Det tar lengre tid å søke etter ikke-indekserte filer, men tålmodigheten din vil bli belønnet.

I skyggekopiene fant jeg ikke bare PNG-filen jeg trengte, men også en lenge slettet BMP-fil med samme navn, som jeg hadde glemt.

Hvorfor skyggekopier kan mangle

Etter å ha lest om tidligere versjoner av filer, vil du kanskje sjekke om de blir opprettet på systemet ditt. Hvis du ikke fant noen tidligere versjoner, kan det bety at:

  • systembeskyttelse er deaktivert, dvs. det er ingen gjenopprettingspunkter der tidligere versjoner av systemfiler er lagret
  • Lite diskplass er tildelt for å beskytte systemet, så det er ikke nok plass til skyggekopier av brukerfiler
  • fil- eller mappeinnholdet er ikke endret - i dette tilfellet opprettes ikke skyggekopier

For å oppsummere historien om filgjenoppretting, vil jeg understreke at Windows-teknologier er sammenkoblet. Du vil ha størst sjanse til å gjenopprette filene dine hvis du bruker Windows Backup sammen med System Protection. Du kan øke disse sjansene ved å lage backup systembilder, gjenopprettingen av disse vil bli diskutert nedenfor.

Gjenopprette systemet fra et tidligere opprettet bilde

Under installasjonen av Windows 7 opprettes det automatisk en tjenestepartisjon på harddisken som inneholder Windows RE (gjenopprettingsmiljø). Ved å bruke denne delen kan du:

  • starte opp i gjenopprettingsmiljøet fra harddisken
  • lag en systemreparasjonsdisk og start opp fra den

Ved å starte opp i gjenopprettingsmiljøet kan du gjenopprette systemet fra et forhåndsopprettet bilde.

Merk følgende! For en detaljert beskrivelse av hvordan du oppretter en systemreparasjonsplate, gjenopprettingsmiljøet og alternativer for oppstart i den, se artikkelen Bruke Windows RE Recovery Environment i Windows 7. Nedenfor diskuterer vi bare oppstart i Windows RE fra en harddisk.

Oppstart til gjenopprettingsmiljø fra harddisk

For å gå inn i menyen Ytterligere nedlastingsalternativer, trykk F8 etter at du har slått på datamaskinen, men før du laster inn operativsystemet.

Velg det første menyelementet - Feilsøking av datamaskinen og trykk Enter. Windows Recovery Environment vil starte, hvor det første du blir bedt om å gjøre er å velge tastaturoppsettet.

Velg språket som passordet for din administrative konto er angitt på, da du vil bli bedt om å angi det i neste trinn.

Etter å ha skrevet inn passordet ditt, vil du se en meny med gjenopprettingsalternativer, hvorav ett er Gjenoppretter et systembilde.

Gjenopprette et systembilde fra Windows RE

Windows RE tilbyr ulike systemgjenopprettingsverktøy.

Du kan også velge et annet gjenopprettingsbilde. Etter å ha valgt et bilde, klikk på knappen Lengre for å starte gjenopprettingsprosessen.

Du kan formatere disker og lage partisjoner, og du har muligheten til å ekskludere disker fra formateringsoperasjonen (disken som inneholder arkivbildet blir automatisk ekskludert). Du kan også ganske enkelt gjenopprette bildet til en eksisterende systempartisjon. Bak knappen I tillegg Det er to flere alternativer skjult.

Når du har bestemt deg for gjenopprettingsalternativene, klikker du Lengre, og klikk deretter på knappen i det siste vinduet i veiviseren Klar. Windows 7 vil advare deg om at alle data vil bli slettet fra partisjonen og starte gjenopprettingsprosessen.

Hvis du ikke har en installasjonsplate for Windows 7, må du sørge for å lage en systemreparasjonsplate. Denne disken lar deg gjenopprette en sikkerhetskopi av systemet selv om Windows RE-tjenestepartisjonen på harddisken er skadet.

Hvis du ved et uhell slettet en fil eller mappe forbi papirkurven, ikke få panikk. Datagjenopprettingsprogrammer er kommet for å bli, så prøv systemverktøyene først. I Windows kan du gjenopprette tidligere versjoner av filer og mapper, selv om GUI ikke har dette alternativet.

I Windows 8 er det én fane mindre i egenskapene til stasjoner, mapper og filer. Vær oppmerksom på at tidligere versjoner har forsvunnet.

Dette observeres kun i klientoperativsystemet, dvs. i Windows Server 2012 forblir fanen. I Windows 10 er fanen tilbake, men... du må lese artikkelen :)

Artikkel oppdatert i sammenheng med Windows 10.

I dag på programmet

Tidligere versjoner på Windows 10

Artikkelen ble skrevet i løpet av Windows 8-dagene, og i Windows 10 gikk fanen "Forrige versjoner" tilbake til mappeegenskapene. Imidlertid er materialet relevant for Windows 10 fordi det demonstrerer hvordan du gjenoppretter filer direkte fra skyggekopier.

I Windows 10 sier fanen at tidligere versjoner er dannet fra filhistorikk og skyggekopier. Først må du vurdere at i Windows 10 er systembeskyttelse deaktivert som standard, så med standardinnstillinger er tidligere versjoner kun tilgjengelig fra filhistorikk, hvis den er aktivert, selvfølgelig.

Dessuten viste eksperimentet mitt på Windows 10 versjon 1511 (og senere 1709) at fanen bare viser versjoner fra filhistorikken, selv om systembeskyttelse er aktivert!

På dette bildet:

  1. Egenskaper for skjermbildemappen i operativsystemet. Siste versjon datert 27. februar. Dette er sannsynligvis datoen for den siste kopien til filhistorikken, som ikke fungerer for meg akkurat nå (stasjonen er fysisk frakoblet)
  2. Den siste skyggekopien datert 11. mai (dukket opp når du opprettet et gjenopprettingspunkt før installering av WU-oppdateringer), jeg oppretter en symbolsk lenke til trinn 3
  3. Innholdet i skyggekopien. Det kan sees at den inneholder filer opprettet kort tid før skyggekopien av 11. mai dukket opp. De er imidlertid fraværende i paragraf 1

Dermed har du størst sjanse til å gjenopprette tidligere versjoner hvis filhistorikk er aktivert. Deretter er versjonene tilgjengelige på en fane i mappeegenskapene eller i filhistorikkgrensesnittet. Ellers må systembeskyttelse være aktivert, og om nødvendig må du komme til skyggekopier ved å bruke metodene beskrevet senere i artikkelen.

Hvordan tidligere versjoner fungerer, og hvorfor fanen ble fjernet i Windows 8

Dette bildet i egenskapene til filer og mapper er bare en konsekvens av det faktum at det ikke lenger er et filgjenopprettingsalternativ i for Windows 8.

Jeg vil si med en gang at fraværet av et inngangspunkt i det grafiske grensesnittet ikke betyr fravær av teknologi i systemet. Tidligere versjoner av filer er fortsatt tilgjengelige! Derfor er alt som er nevnt nedenfor fullt aktuelt for Windows 8, og beskrivelsen av teknologien gjelder også for Windows 7.

Hvorfor ble filbeskyttelsesalternativet og fanen tidligere versjoner fjernet? Jeg har ikke et definitivt svar, men jeg har noen utdannede gjetninger som jeg vil dele med deg samtidig som jeg forklarer hvordan tidligere versjoner fungerer.

På mange systemer var denne fanen alltid tom

Dette har etterlatt tusenvis av mennesker forvirrende fellesskapsfora og Microsoft-støtte med et brennende spørsmål. Men du har allerede gjettet hva problemet deres var, gjorde du ikke? Disse menneskene hadde systembeskyttelsen fullstendig deaktivert!

Folk forsto ikke prinsippet om å lagre og vise tidligere versjoner

Faktisk, hvorfor er det flere versjoner for noen mapper, og ingen for andre? Faktum er at forskjellige utgaver av filene i disse mappene kun kunne opprettes ikke tidligere enn det eldste gjenopprettingspunktet.

Enig, når du ser på fanen, er det ikke helt åpenbart at lagring av versjoner av personlige dokumenter og mediefiler er knyttet til opprettelsen av gjenopprettingspunkter (selv om dette er beskrevet i Windows-hjelpen, om enn ikke uten feil).

Det er vanlig å tenke på poeng som et middel til å rulle tilbake systemparametere, spesielt siden personlige filer ikke gjenopprettes (med unntak av denne typen filer).

I mellomtiden er gjenopprettingspunkter og tidligere versjoner av filer (ikke relatert til filhistorikk) lagret på ett sted - volumskyggekopier.

Systemgjenoppretting tar ganske enkelt et øyeblikksbilde av volumet til rett tid og lagrer det i en skyggekopi. Det er plassen som er tildelt for skyggekopier du kontrollerer i.

Nå blir det klart hvorfor antall versjoner av filer og mapper kan variere. Tilstanden til filen registreres på tidspunktet da gjenopprettingspunktet ble opprettet. Hvis den endres mellom punktene, lagres versjonen i skyggekopien. Hvis filen forble uendret i perioden som dekkes av gjenopprettingspunktene, vil den ikke ha tidligere versjoner i det hele tatt.

Windows 8 introduserer filhistorikk

Når teknologien er tatt i bruk, kan fordelene hentes ut av den. I Windows 7 var dette ikke klart for de fleste, så i Windows 8 introduserte de et mer visuelt datasikkerhetssystem – filhistorikk.

Den er ikke avhengig av skyggekopier, og du kan kontrollere antall filversjoner ved å spesifisere sikkerhetskopieringsfrekvensen. Alt avhenger av dine behov og plassen på måldisken.

Tilgangsfanen for å "tilsløre" tidligere versjoner i Windows 8 ble ganske enkelt fjernet, sammen med det medfølgende alternativet i. Når det gjelder IT-spesialister, bør de være godt kjent med konseptet med skyggekopier - tross alt har serveroperativsystemer en fane med samme navn i volumegenskapene for å administrere dem. Derfor, i Windows Server 2012, er fanen "Forrige versjoner" på sin vanlige plass.

I Windows 8+ opprettes gjenopprettingspunkter ved hjelp av en spesiell algoritme, og sammen med dem lagres tidligere versjoner av filene og mappene dine. Deretter vil jeg fortelle deg hvordan du åpner dem.

Hvordan åpne tidligere versjoner av filer og mapper fra skyggekopier

Nedenfor er to metoder som vil fungere hvis du har systembeskyttelse aktivert. Den første passer for alle støttede Windows og vil være nyttig hvis du ikke har filhistorikk aktivert. Den andre metoden gir mening bare i Windows 8/8.1, med tanke på notatet om Windows 10 i begynnelsen av artikkelen.

Metode 1 - Symbolsk lenke til skyggekopier (Windows 7 og nyere)

Vanlige blogglesere har allerede sett dette trikset i artikkelen om funksjonen til å oppdatere en PC uten å slette filer (Refresh Your PC). Den bruker også skyggekopier for å mellomlagre disken når du lager tilbakerullingsbildet.

Da trengte jeg dette fokuset for å forstå teknologien, men nå kan det hende du trenger det for å løse et helt spesifikt problem. I en ledetekst som kjører som administrator, kjør:

Vssadmin listeskygger

Du vil se en liste over skyggekopier på alle bind. Hver av dem er angitt med en stasjonsbokstav, så det vil være enkelt for deg å navigere. I tillegg tilsvarer hver skyggekopi etter dato et av gjenopprettingspunktene (for å liste dem, kjør i konsollen rstrui).

Velg ønsket dato og kopier skyggekopivolum-IDen. Bruk den nå i den andre kommandoen (ikke glem å legge til en skråstrek på slutten):

Mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

Du har allerede en symbolsk lenke i roten til systemstasjonen skygge, som fører til skyggekopien! Ved å følge lenken vil du se en kjent struktur av filer og mapper - dette er deres tidligere versjoner.

Metode 2 - Logg på en delt stasjon over nettverket (Windows 8 og 8.1)

Lagt til 15.01.2013. I kommentarene delte leseren Alexey en enklere måte å få tilgang til skyggekopier på sammenlignet med det som opprinnelig ble beskrevet i artikkelen. Først fungerte metoden, men senere lukket Microsoft smutthullet med en eller annen oppdatering. Imidlertid foreslo Nicks leser til slutt en løsning.

Først må du gjøre disken delt, og deretter få tilgang til den "over nettverket". I "Denne PC"-vinduet, åpne "Nettverk" og logg på PC-en din, eller bruk en administratorkonto, lim inn nettverksbanen i adressefeltet til Utforsker eller i "Kjør"-vinduet:

\\%datamaskinnavn%\C$

hvor C er bokstaven til ønsket stasjon. I nettverksmapper er fanen "Tidligere versjoner" til stede:

Siden jeg har tydd til å hente data fra skyggekopier flere ganger, er jeg litt lei meg for tapet i GUI. Tross alt var fanen "Forrige versjoner" praktisk fordi den umiddelbart tillot deg å komme til de nødvendige filene.

Jeg brukte imidlertid ikke denne muligheten så ofte at det ga meg forferdelig ulempe å legge inn to kommandoer i konsollen. Tross alt er det viktigste tilstedeværelsen av tidligere versjoner av filene, og jeg kan komme til dem! Nå kan du også ;)

Har du noen gang hatt muligheten til å gjenopprette tidligere versjoner av filer fra skyggekopier? Fortell oss i kommentarene hvorfor behovet oppsto og om du klarte å gjenopprette alt.

Jeg tror fortsatt at de fleste lesere aldri har brukt denne funksjonen på hjemmesystemer, og derfor vil forsvinningen fra GUI ikke forstyrre dem for mye. I det neste innlegget skal vi snakke om hvorfor ulike Windows-funksjoner forsvinner eller gjennomgår endringer, og hva du kan gjøre for å endre situasjonen.