我让一些恶意或编写不当的软件在驱动器上执行了相当于CTRL+ A-> SHIFT+的操作,而这些操作是在驱动程序安装所需的重新启动之后进行的。所有未运行且未受系统保护的文件都被删除了。注册表似乎基本正常,因为所有处理自动运行和已安装软件的键都已到位。DELC:
尽管我经历过几次“我的硬盘是空的”的惊恐时刻,但我仍然不使用 Windows 备份。不过幸运的是,重新启动是由驱动程序安装引起的(顺便说一句,这是主要嫌疑人),所以我有一个还原点和一个比事件发生早几个小时的磁盘完整卷影副本映像。
我尝试过简单地将数据从影子副本复制到实时驱动器。这个过程基本顺利(除了锁定的系统文件)。这样,我恢复了所有非软件数据。问题是,我仍然缺少大多数系统设置以及至少 MS Office(事实上,尽管“开始”菜单内容实际存在,但其中一半以上的内容并未显示\Program Data\Microsoft\Windows\Start Menu\)。
我正在考虑将卷影副本提取到外部驱动器上,然后使用基于 VSS 的复制实用程序复制除明显的系统文件(恢复所需的任何文件)之外的所有内容C:,然后运行系统还原以确保 Windows 识别被覆盖的设置。
这可行吗?或者是否有可以使用影子副本数据“重新映像”驱动器的软件?
就可用工具而言,我在这台机器上安装了 Windows 8 Consumer Preview。我曾想过使用它来执行“外部”恢复,但后来我的研究发现了一个“好消息”,即“恢复以前的版本”已从新操作系统中删除。
我还有一个标记为 v3.5(基于 WinXP SP3)的库存 UBCD4Win、一个加载到可启动闪存驱动器上的 Windows 7 SP1 自定义发行版,以及全套 SysInternals 实用程序(我已经用它来查找当前活动和自动运行中的可疑进程)。