最近我遇到了几个实例,我可以访问 Windows 上的卷影服务创建的原始文件,我的目标是从卷影副本中恢复我们无法再通过其他方式访问的文件。
我目前遇到的问题与勒索软件家族的 Locky 变体有关,vssadmin受感染的 Windows 7 计算机上的所有卷影副本都被命令清除。我能够通过testdisk单独的 Ubuntu 安装恢复系统卷信息,并将恢复的文件放回System Volume Information文件夹中。在之前的例子中,我不需要恢复系统卷信息,也没有勒索软件感染,但我仍然无法使用它libvshadow来查看卷影副本存储。
据我了解,VSS 将其卷影副本保存在 中C:\System Volume Information\。每个“副本”都存储为具有类似 GUID 的名称 ( {6d947e68-7c32-11e7-8b12-1078d273ab75}{3808876b-c176-4e48-b7ae-04046e6cc752}) 的单个文件。就我而言,我有几个这样的文件,每个文件的大小在 600MB 到 1.1GB 之间。
该驱动器通过 USB 底座插入到 Ubuntu 16.04 的标准桌面安装中,并且 Windows 分区/media/user/Windows 7 OS/通过安装在/dev/sdc2。当我运行 时vshadowinfo /dev/sdc2,我被告知有 0 个商店。
所以问题是 - 当似乎所有内容都在适当的位置时,我该如何访问这些文件,但vshadowinfoLinux 和 Windows 上的 ShadowExplorer 都告诉我没有可用的商店?