1.什么是卷影复制?从WindowsXPSP2和WindowsServer2013开始,微软在Windows操作系统中引入了一种称为卷影复制的功能。服务(卷影复制服务-VSS)。此服务允许Windows系统自动或手动备份(或快照)文件或磁盘卷的当前状态。备份。当这些备份文件被创建时,它们将被存储在一个特殊的容器中,即卷影副本(VolumeShadowCopy)。备份软件、实用程序或Windows系统可以使用这些卷影副本来恢复已被删除或以某种方式修改的文件。我们在使用卷影复制服务创建备份文件时,是采用基于版本的方式进行备份的,即每次只备份文件中变化的地方,而不是备份整个文件。因此,这种机制可以让我们在不占用大量磁盘空间的情况下查看同一个文件的不同版本。如您所见,这项技术可以帮助我们在必要时恢复已删除或修改的文件。但除此之外,我还发现该服务可用于恢复旧的游戏存档、被勒索软件加密的文件或我不小心删除的文件。在本文中,我将介绍两种使用卷影复制服务恢复文件的方法。第一种方法使用Windows内置函数——PreviousVersions(前一版本);第二种方法是使用一个叫做ShadowExplorer的工具,它可以帮助你直接查看VolumeShadow复制的文件或文件夹。1、如何使用Windows的内建功能——以前的版本(PreviousVersions)来恢复文件Windows有一个内建的功能叫以前的版本(PreviousVersions),它可以帮助我们从卷影复制快照中恢复以前的文件。下面介绍的方法只能从卷影副本中恢复单个文件,如果要恢复整个文件夹,请参见后面的章节。首先,转到包含要恢复的文件的文件夹:右键单击??要恢复的文件并选择属性:在弹出菜单中,单击“属性”,然后单击“以前的版本”选项卡。接下来,您将看到存储在卷影副本中的文件的所有先前版本。接下来,您可以单击“恢复”(覆盖文件的当前版本)或“复制”(可选存储地址)按钮来恢复文件。如果您不确定,建议您点击“复制”按钮,将文件存放在特定目录下:2.如何恢复整个文件夹其实,恢复文件夹的操作与恢复单个文件的操作类似,除了那在这一步点击右键并选择“属性”后,如果要恢复文件夹,需要在文件夹的空白处点击右键,选择“属性”。其余操作与恢复单个文件时相同,即选择要恢复的文件夹版本,然后点击“复制”按钮。3、使用ShadowExplorer从卷影副本中恢复文件或文件夹ShadowExplorer下载地址:【点我下载】个人比较喜欢这种方式,因为操作更直观。下载这个工具后,打开它,你会看到一个类似资源管理器的界面,里面有每个驱动器下的卷影副本以及对应的修改日期和文件类型。您可以通过选择驱动器和创建时间来快速找到您需要恢复的文件:接下来,找到您需要恢复的文件或文件夹,右键单击它,然后选择“导出”:单击“导出”后,ShadowExplorer将将显示一个对话框供您选择还原文件的位置。选择后,点击“确定”(OK):2.为什么恶意软件会尝试删除卷影副本?计算机勒索病毒感染Windows系统,加密目标用户的文件后,往往会尝试删除卷影副本。您已经看到使用卷影副本恢复文件是多么容易,所以勒索软件当然不希望用户如此轻松地恢复他们的文件!当勒索软件试图删除卷影副本时,它通常使用以下行命令:C:\Windows\Sysnative\vssadmin.exe"DeleteShadows/All/Quiet执行此命令后,Windows会显示一个UAC对话框并询问用户是否以管理员权限执行此命令。如果用户允许执行,则vssadmin.exe将删除目标主机中所有驱动器的卷影副本。在某些情况下,勒索软件还会使用PowerShell或WMIC命令删除SVC,以防止用户恢复被勒索软件加密的文件。
