มีวิธีไม่กี่วิธีในการกู้คืนไฟล์ที่เข้ารหัสอันเป็นผลมาจากการโจมตีของแรนซัมแวร์โดยไม่ต้องจ่ายค่าไถ่ หากเราโชคดี อาจมีเครื่องมือฟรีบางอย่างในการกู้คืน แต่ตัวเลือกที่สมจริงกว่าคือการกู้คืนไฟล์ของคุณจากไฟล์ของคุณ การสำรองข้อมูล. อย่างไรก็ตาม ไม่ใช่ทุกคนที่มีสำเนาสำรองของไฟล์ แม้ว่า Windows จะมีข้อเสนอพิเศษมากมาย คุณสมบัติที่มีประโยชน์หรือที่เรียกว่า Shadow Copy ซึ่งเรียกสั้นๆ ว่าเป็นการสำรองไฟล์ของคุณ อาชญากรไซเบอร์รู้เรื่องนี้มานานแล้ว ดังนั้น ไม่กี่เดือนหลังจากการโจมตีของแรนซัมแวร์กลายเป็นที่นิยม สิ่งแรกที่พวกเขาทำเมื่อทำให้คอมพิวเตอร์ของคุณติดไวรัสคือลบสำเนาเงาของไฟล์ของคุณก่อนที่จะเริ่มเข้ารหัสข้อมูลของคุณ
มีเทคโนโลยีหลายอย่างที่สามารถนำมาใช้เพื่อหยุดการโจมตีของแรนซัมแวร์ได้: บางตัวแทบไม่มีประโยชน์เลย เช่น ลายเซ็นหรือฮิวริสติก (สิ่งเหล่านี้เป็นสิ่งแรกที่ผู้เขียนมัลแวร์ตรวจสอบก่อนที่จะ "ปล่อย") บางตัวอาจมีประสิทธิภาพมากกว่าในบางครั้ง แต่ถึงแม้จะใช้เทคนิคเหล่านี้ร่วมกันทั้งหมดก็ไม่ได้รับประกันว่าคุณจะได้รับการปกป้องจากการโจมตีดังกล่าวทั้งหมด
กว่า 2 ปีที่แล้วใน ห้องปฏิบัติการป้องกันไวรัส PandaLabs ใช้วิธีการที่เรียบง่ายแต่ได้ผล: หากกระบวนการพยายามลบสำเนาเงา เป็นไปได้มากที่สุด (แต่ไม่เสมอไป) เรากำลังจัดการกับ มัลแวร์และเป็นไปได้มากที่สุดกับนักเข้ารหัส ทุกวันนี้ ตระกูลแรนซัมแวร์ส่วนใหญ่จะลบสำเนาเงา, เพราะ หากยังไม่เสร็จ ผู้คนจะไม่จ่ายค่าไถ่ เนื่องจากพวกเขาสามารถกู้คืนไฟล์ได้ฟรี พิจารณาจำนวนการติดเชื้อในห้องปฏิบัติการของเราที่หยุดด้วยวิธีนี้ มีเหตุผลที่จะสันนิษฐานว่าตัวเลขนี้ควรเพิ่มขึ้นแบบทวีคูณ เนื่องจาก จำนวนของการโจมตีด้วยแรนซัมแวร์โดยใช้เทคนิคนี้ก็เพิ่มขึ้นอย่างรวดเร็วเช่นกัน ตัวอย่างเช่น นี่คือจำนวนการโจมตีที่เราบล็อกได้ในช่วง 12 เดือนที่ผ่านมาด้วยแนวทางของเรา:
แต่ในแผนภาพเราเห็นตรงกันข้ามกับที่เราคาดไว้ เป็นไปได้อย่างไร? อันที่จริง มีคำอธิบายง่ายๆ สำหรับ "ปรากฏการณ์" นี้: เราใช้วิธีนี้เป็น "ทางเลือกสุดท้าย" เมื่อไม่มีเทคนิคความปลอดภัยอื่นใดที่สามารถตรวจจับสิ่งที่น่าสงสัยได้ ดังนั้นวิธีนี้จึงใช้ได้ผล กฎนี้ซึ่งบล็อกการโจมตีของแรนซัมแวร์ นอกจากนี้ เรายังใช้แนวทางนี้เพื่อวัตถุประสงค์ภายใน ซึ่งส่งผลให้เราสามารถวิเคราะห์รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีเหล่านั้นที่ถูกบล็อกที่ "พรมแดนสุดท้าย" จากนั้นจึงปรับปรุงระดับความปลอดภัยก่อนหน้านี้ทั้งหมด นอกจากนี้ เรายังใช้วิธีการนี้เพื่อประเมินว่าเราหยุดแรนซัมแวร์ได้ดีหรือแย่เพียงใด กล่าวคือ ยิ่งมีค่าต่ำ เทคโนโลยีหลักของเราก็ยิ่งทำงานได้ดีขึ้น อย่างที่คุณเห็นประสิทธิภาพในการทำงานของเราเพิ่มขึ้น
บทความต้นฉบับ
สำเนาเงาคือ คุณลักษณะใหม่ซึ่งปรากฏใน Windows XP และ วินโดวส์เซิร์ฟเวอร์ 2546 และเปิดใช้งานการเก็บถาวร เปิดไฟล์.
เมื่อใดที่คุณควรเก็บถาวรไฟล์ที่เปิดอยู่ ตัวอย่างเช่น ในสถานที่ทำงานแห่งหนึ่งขององค์กรคุณที่เก่า โปรแกรมบัญชี. ไม่มีกลไกการเก็บถาวรของตัวเองและสามารถเก็บข้อมูลได้เท่านั้น คอมพิวเตอร์เฉพาะที่. ผู้ดูแลระบบ ซึ่งก็คือคุณจะต้องคิดถึงการเก็บถาวรฐานข้อมูลของเธอ
เมื่อทำการเก็บถาวรไฟล์เหล่านี้ผ่านเครือข่าย คอมพิวเตอร์ของนักบัญชีต้องเปิดอยู่ แต่โปรแกรมจะต้องไม่ทำงาน ดังนั้นไฟล์จะไม่ยังคงเปิดอยู่ แต่โปรแกรมนี้เขียนเป็นแบบอัตโนมัติ สถานที่ทำงาน, เริ่มต้นเมื่อเปิดคอมพิวเตอร์และสิ้นสุดเมื่อปิดเครื่อง และคุณสามารถสาปแช่งผู้เขียนเท่านั้น
วิธีออกจากสถานการณ์นี้คือการติดตั้ง Windows XP Professional ในที่ทำงานของนักบัญชี (เราเชื่อว่าโปรแกรมที่คุ้นเคยจะทำงานภายใต้ระบบปฏิบัติการนี้เช่นกัน) หลังจากนั้น คุณจะสามารถเก็บถาวรไฟล์การทำงานทั้งหมดของโปรแกรมนี้ได้ ไม่ว่าจะเสร็จสิ้นหรือไม่ก็ตาม
สำเนาเงาและโฟลเดอร์ที่ใช้ร่วมกัน
สามารถใช้เพื่อแปลงกลับเป็นไฟล์เวอร์ชันก่อนหน้าในโฟลเดอร์ที่ใช้ร่วมกันบนเซิร์ฟเวอร์ ที่สำคัญกว่านั้นคือข้อเท็จจริงต่อไปนี้ ในก่อนหน้านี้ รุ่นของ Windows(รวมถึง Windows 2000) การลบไฟล์ออกจาก โฟลเดอร์ที่ใช้ร่วมกันผ่านเครือข่ายที่นำไปสู่เขา การสูญเสียที่แก้ไขไม่ได้- เขาไม่ได้อยู่ในตะกร้าด้วยซ้ำ และใน Windows Server 2003 คุณสามารถกู้คืนเวอร์ชันก่อนหน้าได้โดยการลบไฟล์ ซึ่งอาจจะเหมือนกับเวอร์ชันปัจจุบัน
ตามค่าเริ่มต้น การคัดลอกเงาของโฟลเดอร์ที่ใช้ร่วมกันจะถูกปิดใช้งาน มีการเปิดใช้งานบนเซิร์ฟเวอร์สำหรับพาร์ติชันที่มีโฟลเดอร์ที่ใช้ร่วมกันอยู่จริง ต้องเป็นพาร์ติชัน NTFS
1. ลงทะเบียนบนเซิร์ฟเวอร์ในฐานะผู้ดูแลระบบ เปิดหน้าต่างคุณสมบัติของไดรฟ์ C:
2.ไปที่แท็บ Shadow Copy คุณจะเห็นว่าคุณลักษณะนี้ถูกปิดใช้งาน
3.คลิกปุ่มตัวเลือกและแก้ไขคุณสมบัติของส่วนปัจจุบัน คุณสามารถระบุความถี่ในการคัดลอกพาร์ติชัน (โดยค่าเริ่มต้น วันละสองครั้ง) และพื้นที่ดิสก์ที่จัดสรรไว้สำหรับการคัดลอก ขอแนะนำให้ปล่อยค่าเริ่มต้นไว้ ปิดกล่องโต้ตอบโดยคลิกปุ่ม ตกลง
4.คลิกปุ่มอนุญาต และในกล่องโต้ตอบถัดไปให้ยืนยันการตัดสินใจของคุณโดยคลิกปุ่มใช่
ทันทีหลังจากนั้น การสร้างสำเนาพาร์ติชันชุดแรกจะเริ่มขึ้น ข้อมูลเกี่ยวกับการกระทำนี้ในรูปแบบของวันที่และเวลาจะแสดงที่ด้านล่างของหน้าต่าง
บันทึก.
ไม่จำเป็นต้องคัดลอกพาร์ติชันไปยังฟิสิคัลดิสก์เดียวกัน ถ้าคุณมีดิสก์จริงหลายตัวติดตั้งอยู่ คุณจะปรับปรุงประสิทธิภาพการทำงานของระบบย่อยของดิสก์ได้อย่างมากโดยชี้สำเนาไปยังดิสก์อื่น เงื่อนไขเดียวคือดิสก์นี้ต้องได้รับการฟอร์แมต ระบบไฟล์เอ็นทีเอฟเอส
องค์กรของการคัดลอกเงา เวิร์กสเตชัน
คอมพิวเตอร์ไคลเอ็นต์ภายใต้ การควบคุม Windows XP Professional ไม่สามารถใช้คุณสมบัติ shadow copy ได้ทันที ก่อนอื่นคุณต้องติดตั้งไคลเอนต์ ซอฟต์แวร์. ไฟล์การติดตั้ง TWCLI32 .MSI อยู่บนเซิร์ฟเวอร์ (ใช้งาน Windows Server 2003) ในโฟลเดอร์ %SYSTEMROOT%\system32\clients\twclient\x86
1. เข้าสู่ระบบคอมพิวเตอร์ในฐานะผู้ดูแลระบบ
2.เริ่ม Explorer และในแถบที่อยู่ให้ป้อนเส้นทาง \\ ชื่อเซิร์ฟเวอร์ \
c$\windows\system32\clients\twclient\x86\twcli32.msi
ไคลเอ็นต์เวอร์ชันก่อนหน้าจะถูกติดตั้ง
ไคลเอนต์สำหรับระบบปฏิบัติการ Windows 2000 Server ด้วย แพ็คเกจที่ติดตั้ง SP3 และใหม่กว่า Windows 2000 Professional และ Windows98 สามารถดาวน์โหลดได้จากเว็บไซต์ของ Microsoft ที่ http://www. ไมโครซอฟท์. com/windowsserver203/downloads/shadowcopyclient.mspx
ไม่มีไคลเอ็นต์ดังกล่าวสำหรับระบบปฏิบัติการ Windows NT 4.0 สำหรับระบบที่ต่ำกว่า Windows XP จะต้องติดตั้งโปรแกรมไคลเอนต์ทั้งบนคอมพิวเตอร์ไคลเอ็นต์และเซิร์ฟเวอร์ด้วย ระบบวินโดวส์เซิร์ฟเวอร์ 2003
การใช้ Shadow Copy
หากต้องการใช้ประโยชน์จากการทำสำเนาเงา:
1. ลงทะเบียนบนคอมพิวเตอร์ในฐานะผู้ใช้ทั่วไป
2.เปิดโฟลเดอร์แผนกของคุณในที่จัดเก็บเอกสารที่ใช้ร่วมกัน
3. แสดงคุณสมบัติของไฟล์ใด ๆ (ควรเป็นข้อความ) คลิกแท็บเวอร์ชันก่อนหน้า ตั้งแต่การติดตั้งไคลเอนต์ shadow copy ไม่มีการสร้างเวอร์ชันก่อนหน้า ดังนั้นรายการจึงว่างเปล่า
4. เปิดไฟล์ แก้ไข และบันทึกภายใต้ชื่อเดียวกัน
5. ทำซ้ำ p.Z. ตอนนี้ในแท็บเวอร์ชันก่อนหน้า คุณจะเห็นเวอร์ชันก่อนหน้าของไฟล์พร้อมวันที่สร้าง
6. คุณสามารถดูได้โดยคลิกที่ปุ่มแสดง สำเนาเอกสารเป็นแบบอ่านอย่างเดียวและไม่สามารถเปลี่ยนชื่อหรือบันทึกได้ หากต้องการกู้คืนเวอร์ชันก่อนหน้าโดยใช้ชื่ออื่น คุณต้องคัดลอกไปยังตำแหน่งอื่นก่อนโดยคลิกปุ่มคัดลอก
หากคุณลบไฟล์ออกจากโฟลเดอร์ที่ใช้ร่วมกันโดยไม่ได้ตั้งใจ และต้องการกู้คืน ให้ดำเนินการดังนี้:
1. จากไคลเอ็นต์คอมพิวเตอร์ ให้แสดงคุณสมบัติของโฟลเดอร์ที่เอกสารนั้นอยู่ แล้วคลิกแท็บ เวอร์ชันก่อนหน้า
2.คลิกปุ่มแสดงและดูเนื้อหาของเอกสารเวอร์ชันก่อนหน้า ถ้ามันเหมาะกับคุณ สร้าง เอกสารใหม่และคัดลอกเนื้อหาไปที่คลิปบอร์ด
หากคุณแก้ไขและบันทึกเอกสารโดยไม่ได้ตั้งใจ คุณสามารถกู้คืนเวอร์ชันที่ถูกต้องได้โดยคลิกปุ่มกู้คืนบนแท็บเวอร์ชันก่อนหน้า
ดังนั้น คุณสมบัติ shadow copy ช่วยให้ผู้ใช้สามารถกู้คืนเอกสารที่อยู่ในโฟลเดอร์ที่ใช้ร่วมกันได้อย่างรวดเร็วในกรณีต่อไปนี้:
* ในกรณีที่มีการลบไฟล์โดยไม่ได้ตั้งใจ
* ในกรณีที่มีการเปลี่ยนแปลงเนื้อหาของไฟล์โดยไม่ได้ตั้งใจ (โดยใช้คำสั่ง Save แทน Save as)
* หากไฟล์เสียหาย
โปรดทราบว่ามีการคัดลอกส่วนทั้งหมด ไม่ใช่เฉพาะโฟลเดอร์ที่เปิดไว้ในขณะที่คัดลอก การเข้าถึงเครือข่าย. หมายความว่า หากคุณแชร์โฟลเดอร์ใหม่หลังจากทำสำเนาแล้ว รุ่นก่อนหน้าไฟล์จะพร้อมใช้งานสำหรับผู้ใช้ตั้งแต่เปิดการเข้าถึง
Volume Shadow Copy Service (VSS) จะบันทึกจุดคืนค่าและสนับสนุนการสำรองและกู้คืนไฟล์ตามกลไกในการถ่ายภาพสแนปช็อตของไฟล์และข้อมูล (สแนปช็อต) ซึ่งเรียกว่า Shadow Copy VSS สร้างสแตติกสำเนาของไฟล์และแอปพลิเคชันที่เปิดอยู่ ซึ่งมิฉะนั้นจะผันผวนเกินไปที่จะสำรองข้อมูล
ฟังดูน่าเชื่อถือ แต่ VSS ใช้พื้นที่ดิสก์มาก ขั้นแรก ให้ใช้คำสั่ง "vssadmin" เพื่อดูว่า shadow copy วอลุ่มปัจจุบันใช้พื้นที่เท่าใดกับคำสั่ง "vssadmin list shadowstorage" (เพิ่มเติม รายละเอียดข้อมูลคลิกปุ่ม "เริ่ม" พิมพ์ cmd ในแถบค้นหา จากนั้นพิมพ์ vssadmin /? เพื่อขอความช่วยเหลือ)
ในภาพหน้าจอด้านล่าง จุดคืนค่าสำหรับไดรฟ์ C: และ D เปิดใช้งานอยู่ นอกจากนี้ยังมีสำเนาเงาในดิสก์เดียวกัน มาดูกันว่าพื้นที่ดิสก์ที่เสียไปโดย shadow copy ของไดรฟ์เหล่านี้: 22.079 GB บนไดรฟ์ D: (ทั้งหมด: 149 GB พื้นที่ที่ถูกครอบครองโดย shadow copy = 15.5%) และ 64.448 GB บนไดรฟ์ C: (รวม: 465 GB; ปริมาณที่ถูกครอบครองโดยสำเนาเงา = 14.9%)
จนถึงจุดหนึ่ง เราพบพื้นที่ว่างเพียง 230 GB บนไดรฟ์ C: ขนาด 465 GB แม้ว่าเราจะทราบแน่นอนว่ามีไฟล์เพียง 120 GB เท่านั้น การค้นหา 115 GB ที่หายไปทำให้เราไปที่ Volume Shadow Copy Service เราใช้คำสั่ง "vssadmin list shadows" อีกครั้ง (เราไม่ได้แสดงผลลัพธ์ที่นี่เพราะมันยาวมาก: มันแสดงรายการ shadow copy ทั้งหมดบนดิสก์) และพบว่าหนึ่งใน shadow copy มีขนาด 85 GB! เนื่องจากเมื่อเร็วๆ นี้เราได้คัดลอกคอลเลคชันไฟล์เพลงจำนวนมากจากไดรฟ์ USB 200GB เก่าไปยังไดรฟ์ SATA ที่เร็วขึ้นตัวใหม่ของเรา เห็นได้ชัดว่า VSS สร้างสำเนาเงาของไฟล์เหล่านั้นในขณะเดียวกันก็คัดลอกไปยังโฟลเดอร์ที่ผู้ใช้เข้าถึงได้
จะกำจัด shadow copy ที่ไม่จำเป็นนี้ได้อย่างไร? ตามค่าเริ่มต้น Vista จะจัดสรรพื้นที่ดิสก์ 15% ให้กับ Shadow Copy ระบบปฏิบัติการไม่จำกัดขนาดรวมของสำเนาเงาอย่างเคร่งครัด หากสำเนาเงาต้องการพื้นที่เพิ่มเติม Vista ยินดีจัดให้ การใช้ยูทิลิตี้ บรรทัดคำสั่ง vssadmin สามารถตั้งค่าขีดจำกัดพื้นที่ดิสก์ที่ชัดเจนสำหรับสำเนาเงา นี่คือวิธีการ:
Vssadmin ปรับขนาด shadowstorage /For=T: /On=T: /MaxSize=Num
แทนที่จะใช้ตัวอักษร "T" ให้แทนที่ชื่อดิสก์ของคุณและแทนที่ "Num" ด้วยตัวเลขเท่ากับ 15% ของความจุของดิสก์นี้ ในกรณีของไดรฟ์ C: คำสั่งนี้จะมีลักษณะดังนี้:
Vssadmin ปรับขนาด shadowstorage /For=C: /On=C: /Maxsize=69GB
ก่อนใช้เคล็ดลับนี้ ให้สำรองระบบของคุณและสร้างจุดคืนค่าทันทีหลังจากรีบูตระบบ หลังจากเรียกใช้คำสั่งด้านบน Vista จะลบจุดคืนค่าที่เก่าที่สุดโดยอัตโนมัติก่อนจนกว่าจะถึงขีดจำกัดที่คุณตั้งไว้
บทความที่แล้วได้กล่าวถึงความเป็นไปได้ สำเนาสำรอง Windows 7 - การสร้างไฟล์เก็บถาวรและ ภาพดิสก์. บทความนี้เกี่ยวกับการคืนค่าไฟล์จากไฟล์เก็บถาวรและระบบจากดิสก์อิมเมจ ตลอดจนการคืนค่าไฟล์เวอร์ชันก่อนหน้า
ในหน้านี้:
การกู้คืนไฟล์จากไฟล์เก็บถาวร
ใน Windows 7 คุณสามารถกู้คืนไฟล์จากข้อมูลสำรองโดยใช้รายการแผงควบคุม
ในหน้าต่างหลักของรายการแผงควบคุม มีสามตัวเลือกสำหรับการกู้คืนไฟล์:
- กู้คืนไฟล์ของฉัน- ให้คุณเลือกไฟล์และโฟลเดอร์แต่ละไฟล์สำหรับการกู้คืน
- กู้คืนไฟล์ของผู้ใช้ทั้งหมด- ยังให้คุณเลือกไฟล์และโฟลเดอร์แต่ละรายการ แต่สำหรับผู้ใช้คอมพิวเตอร์ทุกคน
- เลือกข้อมูลสำรองอื่นเพื่อกู้คืนไฟล์- อนุญาตให้คุณกู้คืนไฟล์ของผู้ใช้ทั้งหมดรวมถึงเลือกไฟล์เก็บถาวรที่อยู่ในไดรฟ์เครือข่าย
ต่อไปนี้เป็นเรื่องเกี่ยวกับการกู้คืนไฟล์ "ของฉัน" หน้าต่างแรกของ File Recovery Wizard เต็มไปด้วยตัวเลือกต่างๆ มากมาย ดังนั้นไปตามลำดับกันเลย
เลือกวันที่เก็บถาวร ตามค่าเริ่มต้น ระบบจะใช้ไฟล์เก็บถาวรล่าสุดตามที่ระบบรายงานในหน้าต่าง คุณสามารถเลือกวันที่ก่อนหน้าได้ ตัวอย่างเช่น หากคุณต้องการสำเนาไฟล์ที่เก่ากว่า
ดูเหมือนว่าอินเทอร์เฟซได้รับการออกแบบมาสำหรับการเก็บถาวรบ่อยครั้งมาก - โดยค่าเริ่มต้น คลังเก็บสำหรับสัปดาห์ที่แล้วจะแสดง (ในความคิดของฉัน มันมีเหตุผลมากกว่าที่จะแสดงคลังเก็บถาวรสำหรับเดือนทันที) แต่คุณสามารถเลือกอันที่เก่ากว่าได้แน่นอน .
ค้นหาไฟล์ นี่เป็นเครื่องมือที่สะดวกมากที่ให้คุณค้นหาไฟล์ที่คุณต้องการในไฟล์เก็บถาวรได้ทันที
โปรดทราบว่าหน้าต่างนี้ใช้อินเทอร์เฟซ explorer เช่น ในผลการค้นหา คุณสามารถเลือกคอลัมน์ของคุณสมบัติไฟล์ที่ต้องการและจัดเรียงตามคอลัมน์เหล่านั้น (อย่างไรก็ตาม ไม่มีการจัดกลุ่ม)
การเพิ่มไฟล์และโฟลเดอร์ นอกจากการค้นหาแล้ว ยังสามารถเพิ่มไฟล์และโฟลเดอร์แต่ละรายการได้ แต่ละการกระทำจะมีปุ่มของตัวเอง
รายการไฟล์ที่กู้คืนได้ ชื่อของโฟลเดอร์ที่เพิ่มจะแสดงและ แต่ละไฟล์.
ลบไฟล์และโฟลเดอร์ออกจากรายการ ไฟล์และโฟลเดอร์จะถูกลบออกจากรายการไฟล์ที่กู้คืนได้เท่านั้น ไม่ใช่จากไฟล์เก็บถาวร
ไปที่การเลือกปลายทางสำหรับไฟล์ที่สามารถกู้คืนได้ คุณสามารถกู้คืนไฟล์:
- ไปยังตำแหน่งเดิม ในกรณีนี้ หากมีไฟล์ชื่อเดียวกันอยู่ ระบบจะแสดงกล่องโต้ตอบมาตรฐานที่แจ้งให้คุณเขียนทับไฟล์ เก็บสำเนาทั้งสองไว้ในโฟลเดอร์ หรือปฏิเสธที่จะคัดลอก
- ไปยังตำแหน่งที่คุณระบุ ในกรณีนี้ คุณสามารถกู้คืนไฟล์ได้ในขณะที่รักษาโครงสร้างโฟลเดอร์ โดยเริ่มต้นจากรูทของไฟล์เก็บถาวร (เน้นในรูป)
เมื่อคุณตัดสินใจเลือกตำแหน่งสุดท้ายของไฟล์ที่จะกู้คืนแล้ว ให้คลิกปุ่ม คืนค่า.
การคืนค่าไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้า
ลองนึกภาพว่าคุณลบส่วนหนึ่งของเอกสาร บันทึกไฟล์ และปิดแอปพลิเคชันในขณะที่ทำงานกับเอกสาร ทันใดนั้นก็จำได้ว่าพวกเขาลบบางสิ่งที่สำคัญมาก หรือจินตนาการว่าคุณลบไฟล์ผ่านถังขยะ และหนึ่งเดือนต่อมาคุณต้องการมันจริงๆ ในทั้งสองกรณี คุณมีโอกาสที่จะกู้คืนไฟล์เวอร์ชันก่อนหน้าที่สามารถบันทึกใน Windows 7 ได้สองวิธี:
- ไฟล์เก็บถาวรที่สร้างโดยใช้ Windows Backup
- สำเนาเงาที่สร้างโดยการป้องกันระบบโดยใช้บริการ Volume Shadow Copy
การเข้าถึงเพื่อกู้คืนเวอร์ชันก่อนหน้านั้นดำเนินการจากคุณสมบัติของไฟล์หรือโฟลเดอร์บนแท็บ รุ่นก่อนหน้า.
กู้คืนไฟล์เวอร์ชันก่อนหน้าจากไฟล์เก็บถาวร
หากรวมไฟล์ไว้ในไฟล์เก็บถาวรโดยใช้ Windows Backup ในคุณสมบัติของไฟล์บน รุ่นก่อนหน้า การเก็บถาวร.
หากเมื่อกู้คืนไฟล์ ระบบตรวจพบว่ามีไฟล์ชื่อเดียวกันอยู่แล้ว คุณจะได้รับแจ้งให้เขียนทับไฟล์ที่มีอยู่ บันทึกด้วยชื่ออื่น หรือปฏิเสธที่จะกู้คืน
แน่นอนว่าไฟล์เดียวกันสามารถกู้คืนได้จากแผงควบคุม แต่สามารถทำได้สะดวกและรวดเร็วกว่าจากคุณสมบัติของไฟล์
การคืนค่าไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้าจาก Shadow Copies
เพื่อให้สามารถกู้คืนไฟล์และโฟลเดอร์จาก shadow copy ได้ จะต้องเปิดใช้งานการป้องกันระบบ ซึ่งเปิดใช้งานสำหรับแต่ละดิสก์แยกกัน อาจไม่ชัดเจนนัก แต่เป็นการตั้งค่าการป้องกันระบบที่ควบคุมการทำงานและจำนวนพื้นที่ดิสก์สำหรับ Volume Shadow Copy Service ซึ่งจัดเก็บจุดคืนค่าระบบและสำเนาเงาของไฟล์และโฟลเดอร์
สำเนาเงาจะไม่ถูกเก็บไว้อย่างไม่มีกำหนด พวกเขาได้รับการจัดสรรพื้นที่ดิสก์เป็นเปอร์เซ็นต์ และเมื่อถึงขีดจำกัดที่ระบุ สำเนาเก่าจะถูกแทนที่ด้วยสำเนาใหม่ เนื่องจากพูดถึงการปกป้องและกู้คืนระบบ ในที่นี้ฉันจะพิจารณาเฉพาะการกู้คืนเวอร์ชันก่อนหน้าเท่านั้น
จาก shadow copy คุณสามารถกู้คืนเวอร์ชันก่อนหน้าได้:
- แต่ละไฟล์
- โฟลเดอร์ที่มีไฟล์
การกู้คืนไฟล์เดียวจาก shadow copy เกือบจะเหมือนกับการกู้คืนไฟล์จากไฟล์เก็บถาวร ในคุณสมบัติของไฟล์บนแท็บ รุ่นก่อนหน้าคุณจะเห็นรายการเวอร์ชันและตำแหน่งที่ตั้ง จุดคืนค่า.
ซึ่งแตกต่างจากไฟล์ที่บันทึกไว้ในไฟล์เก็บถาวร ในกรณีนี้ คุณจะมีตัวเลือกในการเปิดและคัดลอกไฟล์ไปยังโฟลเดอร์ที่คุณเลือก
นอกจากไฟล์แต่ละไฟล์แล้ว คุณยังสามารถกู้คืนโฟลเดอร์จากสำเนาเงาได้ รายการเวอร์ชันสามารถดูได้ในคุณสมบัติ โฟลเดอร์แท็บ รุ่นก่อนหน้า.
คุณสามารถเปิดโฟลเดอร์ คัดลอกไปยังตำแหน่งอื่น หรือกู้คืนไปยังตำแหน่งเดิม เมื่อกู้คืน เช่น ในกรณีของไฟล์จากไฟล์เก็บถาวร ระบบจะเตือนคุณหากมีไฟล์ชื่อเดียวกันในโฟลเดอร์
การกู้คืนไฟล์ที่ถูกลบจากสำเนาเงา
หากคุณต้องการกู้คืนสำเนาก่อนหน้าของไฟล์ที่มีอยู่ เพียงไปที่แท็บคุณสมบัติของไฟล์ รุ่นก่อนหน้า. แต่ถ้าไฟล์ถูกลบล่ะ? คุณมีสองวิธี:
- การกู้คืนโฟลเดอร์
- ค้นหาไฟล์
จาก shadow copy คุณสามารถกู้คืนโฟลเดอร์ที่มีไฟล์อยู่ตามที่อธิบายไว้ข้างต้น หากคุณจำตำแหน่งที่แน่นอนของไฟล์ไม่ได้ แต่ทราบคร่าวๆ ว่าไฟล์นั้นอยู่ที่ไหนในโครงสร้างโฟลเดอร์ คุณสามารถกู้คืนโฟลเดอร์หลักได้
อย่างไรก็ตาม ก่อนที่จะกู้คืนโฟลเดอร์ คุณสามารถลองค้นหา ไฟล์ระยะไกลโดยใช้ การค้นหาของ Windows. ลองดูลำดับของการกระทำด้วยตัวอย่าง ฉันลบไฟล์ support_center01.pngและตอนนี้ฉันต้องการมัน ฉันรู้ว่าโฟลเดอร์นั้นอยู่ในโฟลเดอร์ใด และฉันกำลังค้นหาไฟล์ในนั้น (และหากฉันไม่ทราบตำแหน่งที่แน่นอน ฉันจะค้นหาในพาเรนต์ที่ใกล้เคียงที่สุด)
ไม่มีการจัดทำดัชนีสำเนาเงา และไฟล์ที่ถูกลบจะถูกแยกออกจากดัชนีทันที ดังนั้นการค้นหาจึงไม่พบ ดังนั้นคุณต้องค้นหาในสถานที่ที่ไม่ได้จัดทำดัชนีโดยคลิก คอมพิวเตอร์.การค้นหาไฟล์ที่ไม่ได้จัดทำดัชนีจะใช้เวลานานกว่า แต่ความอดทนของคุณจะได้รับรางวัล
ใน shadow copy นั้นไม่ได้มีแค่ไฟล์ PNG ที่ฉันต้องการเท่านั้น แต่ยังมีไฟล์ BMP ที่ถูกลบไปนานแล้วด้วยชื่อเดียวกันด้วย ซึ่งฉันลืมคิดไป
เหตุใดสำเนาเงาจึงอาจหายไป
หลังจากอ่านเกี่ยวกับไฟล์เวอร์ชันก่อนหน้าแล้ว คุณอาจต้องการตรวจสอบว่ามีการสร้างไฟล์เหล่านี้ในระบบของคุณหรือไม่ หากคุณไม่พบเวอร์ชันก่อนหน้า อาจหมายความว่า:
- ปิดใช้งานการป้องกันระบบเช่น ไม่มีจุดคืนค่าที่จัดเก็บไฟล์ระบบเวอร์ชันก่อนหน้า
- พื้นที่ดิสก์เพียงเล็กน้อยได้รับการจัดสรรเพื่อปกป้องระบบ ดังนั้นจึงมีพื้นที่ไม่เพียงพอสำหรับสำเนาเงาของไฟล์ผู้ใช้
- เนื้อหาของไฟล์หรือโฟลเดอร์ไม่มีการเปลี่ยนแปลง - ในกรณีนี้จะไม่มีการสร้างสำเนาเงา
สรุปเรื่องราวเกี่ยวกับการกู้คืนไฟล์ ฉันต้องการเน้นว่าเทคโนโลยีของ Windows นั้นเชื่อมต่อถึงกัน คุณจะมีโอกาสกู้คืนไฟล์ได้ดีที่สุดหากคุณใช้ Windows Backup พร้อมกับการป้องกันระบบ คุณสามารถเพิ่มโอกาสเหล่านี้ได้โดยสร้างอิมเมจสำรองของระบบ ซึ่งการคืนค่าจะกล่าวถึงด้านล่าง
การกู้คืนระบบจากอิมเมจที่สร้างไว้ล่วงหน้า
ในระหว่าง การติดตั้งวินโดว์ 7 พาร์ติชันบริการจะถูกสร้างขึ้นโดยอัตโนมัติบนฮาร์ดดิสก์ที่มีสภาพแวดล้อม การกู้คืน Windows RE (สภาพแวดล้อมการกู้คืน) เมื่อใช้ส่วนนี้ คุณสามารถ:
- บูตเข้าสู่สภาพแวดล้อมการกู้คืนจากฮาร์ดไดรฟ์
- สร้างดิสก์กู้คืนระบบและบูตจากนั้น
โดยการบูตเข้าสู่สภาพแวดล้อมการกู้คืน คุณสามารถกู้คืนระบบจากอิมเมจที่สร้างไว้ล่วงหน้าได้
ความสนใจ!สำหรับคำอธิบายโดยละเอียดเกี่ยวกับวิธีสร้างไดรฟ์กู้คืนระบบ สภาพแวดล้อมการกู้คืน และตัวเลือกในการบู๊ต โปรดดู การใช้สภาพแวดล้อมการกู้คืน Windows RE ใน Windows 7 การสนทนาต่อไปนี้ครอบคลุมเฉพาะการบูตเข้าสู่ Windows RE จากฮาร์ดไดรฟ์
บูตเข้าสู่สภาพแวดล้อมการกู้คืนจากฮาร์ดไดรฟ์
เพื่อเข้าสู่เมนู ตัวเลือกการดาวน์โหลดเพิ่มเติมคลิก F8หลังจากเปิดเครื่องคอมพิวเตอร์ แต่ก่อนที่ระบบปฏิบัติการจะโหลด
เลือกรายการเมนูแรก - การแก้ไขปัญหาคอมพิวเตอร์ของคุณแล้วกด Enter Windows Recovery Environment จะเริ่มทำงาน โดยสิ่งแรกที่คุณจะถูกขอให้ทำคือเลือกรูปแบบแป้นพิมพ์
เลือกภาษาที่คุณตั้งรหัสผ่านสำหรับผู้ดูแลระบบ บัญชีเพราะในขั้นตอนต่อไปจะต้องป้อน
หลังจากป้อนรหัสผ่านแล้ว คุณจะเห็นเมนูพร้อมตัวเลือกการกู้คืน ซึ่งหนึ่งในนั้นคือ การกู้คืนอิมเมจระบบ.
การกู้คืนอิมเมจระบบจากสภาพแวดล้อม Windows RE
ใน สภาพแวดล้อมของ Windows RE มีเครื่องมือการกู้คืนระบบที่หลากหลาย
คุณยังสามารถเลือกรูปภาพอื่นเพื่อกู้คืนได้อีกด้วย หลังจากเลือกรูปภาพแล้ว ให้คลิกปุ่ม ไกลออกไปเพื่อเริ่มกระบวนการกู้คืน
คุณสามารถฟอร์แมตดิสก์และสร้างพาร์ติชันได้ ขณะที่คุณมีตัวเลือกในการแยกดิสก์ออกจากการดำเนินการฟอร์แมต (ดิสก์ที่มีอิมเมจที่เก็บถาวรจะถูกแยกออกโดยอัตโนมัติ) นอกจากนี้คุณยังสามารถกู้คืนรูปภาพที่มีอยู่ได้ พาร์ติชันระบบ. ด้านหลังปุ่ม นอกจากนี้ซ่อนอีกสองตัวเลือก
หลังจากตัดสินใจเลือกตัวเลือกการกู้คืนแล้ว ให้คลิกปุ่ม ไกลออกไปจากนั้นในหน้าต่างสุดท้ายของวิซาร์ด ให้คลิกปุ่ม พร้อม. Windows 7 จะเตือนคุณว่าข้อมูลทั้งหมดจะถูกลบออกจากพาร์ติชันและเริ่มกระบวนการกู้คืน
หากคุณไม่มีการติดตั้ง ดิสก์ Windows 7 อย่าลืมสร้างแผ่นดิสก์การกู้คืนระบบ ดิสก์นี้จะช่วยให้คุณสามารถกู้คืนอิมเมจสำรองระบบได้แม้ว่าฮาร์ดไดรฟ์จะเสียหายก็ตาม พาร์ติชัน Windowsอีกครั้ง.
ฉันหวังว่าคุณจะสร้างสำเนาเงาของทั้งดิสก์ไม่ใช่ในดิสก์เดียวกันกับระบบเพื่อดูหรือไม่
โดยปกติแล้วสำเนาเหล่านี้จะไม่สามารถดูได้เช่นเดียวกับไฟล์ที่เก็บถาวร แต่เป็นที่ชัดเจนว่าพื้นที่ถูกใช้ไป
การจัดการพื้นที่สำเนาเงาพื้นที่จัดเก็บสำหรับ shadow copy ถูกจัดสรรแยกกันบนวอลุ่มการทำงานและบนดิสก์สำรองข้อมูลสำหรับการสำรองข้อมูลทั้งระบบ สามารถตรวจสอบพื้นที่ที่ใช้แล้ว จัดสรร และสำเนาเงาสูงสุดได้โดยการรันคำสั่งต่อไปนี้จากพร้อมท์คำสั่ง:
รายการ VSSAdmin ShadowStorage
พื้นที่ที่ใช้ - พื้นที่ที่ถูกครอบครองโดยสำเนาเงา จัดสรรแล้ว - พื้นที่ที่สงวนไว้สำหรับสำเนาเงา (และไม่ได้ใช้สำหรับงานอื่น) สูงสุด - เกณฑ์สูงสุดที่เกินกว่าปริมาณสำเนาเงาไม่สามารถขยายได้
การจัดสรรพื้นที่สำหรับสำเนาเงาเป็นแบบอัตโนมัติ ซึ่งหมายความว่าผู้ใช้ไม่สามารถตั้งค่าได้ พื้นที่ใหม่ถูกจัดสรรเป็นชิ้นคงที่เนื่องจากพื้นที่ที่จัดสรรก่อนหน้านี้ถูกครอบครอง ด้วยเหตุนี้ ค่าที่รายงานสำหรับพื้นที่ที่ใช้จึงต่ำกว่าพื้นที่ที่จัดสรรเสมอ
สำหรับไดรฟ์ข้อมูลเริ่มต้น พื้นที่จัดเก็บสูงสุดที่อนุญาตสำหรับสำเนาเงาจะถูกกำหนดเมื่อสร้างสำเนาเงาแรก - โดยปกติแล้วในครั้งแรกที่คุณเปิดใช้งานการคืนค่าระบบและสร้างจุดคืนค่าระหว่างการตั้งค่า ค่านี้ถูกกำหนดเป็นพื้นที่ว่าง 30% หรือ 15% ของขนาดไดรฟ์ข้อมูลทั้งหมด แล้วแต่จำนวนใดจะน้อยกว่า ขนาดสูงสุดนี้เป็นแบบคงที่ จะไม่เปลี่ยนแปลงเมื่อคุณเพิ่มหรือลดพื้นที่ว่าง หรือเมื่อคุณเปลี่ยนขนาดของไดรฟ์ข้อมูล
อย่างไรก็ตาม สามารถปรับขนาดได้ด้วยตนเองโดยใช้เครื่องมือ VSSAdmin จากพรอมต์คำสั่งที่ยกระดับ ตัวอย่างเช่นเพื่อเพิ่ม ขนาดสูงสุดพื้นที่เก็บข้อมูลในไดรฟ์ C:\ สูงสุด 15 GB คุณต้องเรียกใช้คำสั่งต่อไปนี้:
VSSAdmin ปรับขนาด ShadowStorage /For=C: /On=C: /MaxSize=15GB
คุณลักษณะนี้ปรากฏครั้งแรกบน Windows Server® ซึ่งสามารถเก็บสำเนาเงาของไดรฟ์ข้อมูลหนึ่งๆ ไว้บนไดรฟ์ข้อมูลอื่นได้ ใน วินโดว์ วิสต้าสำเนาเงาของไดรฟ์ข้อมูลจะถูกจัดเก็บไว้ในไดรฟ์ข้อมูลเดียวกัน ดังนั้นปริมาณที่คัดลอกและปริมาณที่สำเนาอยู่จะต้องตรงกัน
ในทางกลับกัน จำนวนพื้นที่จัดเก็บ shadow copy บนไดรฟ์ปลายทางสำรองข้อมูลทั้งหมดของคอมพิวเตอร์จะกำหนดไว้ที่ 30% ของไดรฟ์ทั้งหมด ค่านี้ควบคุมโดยโปรแกรมสำรองข้อมูลของคอมพิวเตอร์และไม่สามารถเปลี่ยนแปลงได้ด้วยตนเอง พื้นที่จัดเก็บสำเนาเงานี้ใช้เพื่อจัดเก็บสำเนาที่เพิ่มขึ้นซึ่งสร้างโดยการสำรองข้อมูลคอมพิวเตอร์แบบเต็ม
สามารถเก็บสำเนาเงาได้สูงสุด 64 ชุดต่อหนึ่งโวลุ่ม ตราบใดที่มีพื้นที่เพียงพอในพื้นที่จัดเก็บสำเนาเงา หลังจากถึงขีดจำกัดขนาดสูงสุดแล้ว สำเนาเงาที่เก่ากว่าจะถูกลบเพื่อให้มีที่ว่างสำหรับสำเนาที่ใหม่กว่า ดังนั้น จุดคืนค่าเก่าสำหรับ System Restore จะถูกลบออกเมื่อถึงขีดจำกัดของวอลุ่มการทำงาน และข้อมูลสำรองเก่าที่สร้างโดย CompletePC Backups จะถูกลบเมื่อไดรฟ์สำรองข้อมูลถึงขีดจำกัดดังกล่าว นอกจากนี้ การจัดเก็บและแก้ไขข้อมูลอื่นๆ ในไดรฟ์สำรองข้อมูลอาจรบกวนกระบวนการสำรอง "อายุ" ตามปกติ ซึ่งนำไปสู่การลบอย่างรวดเร็ว
อย่ามองหาพระเจ้า อย่ามองหาหิน อย่ามองหาพระเจ้า จงมองหาพระเจ้าภายในตัวคุณเอง ผู้แสวงหา ให้เขาหา
กำลังโหลด...