Большинство решений для резервного копирования данных под Windows в том или ином виде используют возможности службы теневых копий (VSS — Volume Shadow Copy Service) для создания копий данных приложений или сервисов. В некоторых случаях, служба VSS или один из ее модулей записей начинают работать некорректно, в результате чего не удается выполнить нормальную процедуру резервное копирования данных. Я сталкивался с такой ошибкой на Exchange, MSSQL и Hyper-V серверах. Для быстрого восстановления службы VSS и ее компонентов я использую следующую инструкцию.
Чтобы определить сбойный модуль VSS, выведем список зарегистрированных в системе модулей записи VSS (Writers) с помощью команды vssadmin.
vssadmin list writers
В списке компонентов ищем те, которые находятся в состоянии Failed (для нормально работающих компонентов статус должен быть State: [1] Stable)
Writer name: ‘Microsoft Exchange Writer’
Writer Id: <76fe1ac4-6ded-4f4b-8f17-fd23f8ddcfb7>
Writer Instance Id: <31b56ab0-9588-412f-ae7b-cdc375347158>
State: [7] Failed
Last error: Retryable error
Как вы видите, в нашем случае модуль записи Microsoft Exchange Writer находится в сбойном состоянии (State: [8] Failed), поэтому резервное копирование Exchange выполнить не удастся. Как правило, чтобы исправить состояние такого компонента, достаточно перезагрузить сервер (что не всегда возможно по производственным причинам).
Чтобы починить модуль записи, нужно попробовать перезапустить связанную с ним службу (в таблице ниже содержится список соответствия типовых VSS Writer и связанных с ними служб Windows). Помимо остановки службы, иногда приходится руками завершать процесс зависшей службы.
| VSS Writer | Имя службы | Полное имя службы |
| ASR Writer | VSS | Volume Shadow Copy |
| BITS Writer | BITS | Background Intelligent Transfer Service |
| Certificate Authority | CertSvc | Active Directory Certificate Services |
| COM+ REGDB Writer | VSS | Volume Shadow Copy |
| DFS Replication service writer | DFSR | DFS Replication |
| DHCP Jet Writer | DHCPServer | DHCP Server |
| FRS Writer | NtFrs | File Replication |
| FSRM writer | srmsvc | File Server Resource Manager |
| IIS Config Writer | AppHostSvc | Application Host Helper Service |
| IIS Metabase Writer | IISADMIN | IIS Admin Service |
| Microsoft Exchange Replica Writer | MSExchangeRepl | Microsoft Exchange Replication Service |
| Microsoft Exchange Writer | MSExchangeIS | Microsoft Exchange Information Store |
| Microsoft Hyper-V VSS Writer | vmms | Hyper-V Virtual Machine Management |
| MSMQ Writer (MSMQ) | MSMQ | Message Queuing |
| MSSearch Service Writer | WSearch | Windows Search |
| NPS VSS Writer | EventSystem | COM+ Event System |
| NTDS | NTDS | Active Directory Domain Services |
| OSearch VSS Writer | OSearch | Office SharePoint Server Search |
| OSearch14 VSS Writer | OSearch14 | SharePoint Server Search 14 |
| Registry Writer | VSS | Volume Shadow Copy |
| Shadow Copy Optimization Writer | VSS | Volume Shadow Copy |
| SMS Writer | SMS_SITE_VSS_WRITER | SMS_SITE_VSS_WRITER |
| SPSearch VSS Writer | SPSearch | Windows SharePoint Services Search |
| SPSearch4 VSS Writer | SPSearch4 | SharePoint Foundation Search V4 |
| SqlServerWriter | SQLWriter | SQL Server VSS Writer |
| System Writer | CryptSvc | Cryptographic Services |
| TermServLicensing | TermServLicensing | Remote Desktop Licensing |
| WDS VSS Writer | WDSServer | Windows Deployment Services Server |
| WIDWriter | WIDWriter | Windows Internal Database VSS Writer |
| WINS Jet Writer | WINS | Windows Internet Name Service (WINS) |
| WMI Writer | Winmgmt | Windows Management Instrumentation |
Еще раз выполните команду
vssadmin list writers
Проверьте статус проблемного модуля записи. Если он не изменился на Stable и проблема не исправлена, можно попробовать перерегистрировать компоненты и библиотеки службы VSS.
Перейдите в каталог:
Остановите службы Volume Shadow Copy и Microsoft Software Shadow Copy Provider
Net Stop VSS
Net Stop SWPRV
Перерегистрируйте компоненты VSS:
regsvr32 /s ole32.dll
regsvr32 /s oleaut32.dll
regsvr32 /s vss_ps.dll
vssvc /register
regsvr32 /s /i swprv.dll
regsvr32 /s /i eventcls.dll
regsvr32 /s es.dll
regsvr32 /s stdprov.dll
regsvr32 /s vssui.dll
regsvr32 /s msxml.dll
regsvr32 /s msxml3.dll
regsvr32 /s msxml4.dll
vssvc /register
Теперь осталось запустить остановленные службы:
Net Start SWPRV
Net Start VSS
Проверьте, пропала ли ошибка у проблемного модуля записи VSS.
Данный метод перезапуска и перерегистрации компонентов VSS эффективен, как на Windows Server 2008 / 2012/ R2, так и на Windows Server 2016.
VSS создает теневые копии по расписанию или по требованию. Использовать службу VSS в Windows 2003 и для системного восстановления Vista просто. В данной статье показано, как настроить резервные копии с использованием VSS в Windows 2003 и преобразовать базовые диски в динамические, не повредив теневые копии. В процессе применения VSS администратору могут пригодиться рекомендации, приведенные во врезке «Пять советов по VSS».
Принципы работы VSS
Служба VSS создает моментальный снимок всех файлов на томе NTFS или томе-источнике. Теневые копии хранятся в области, именуемой кэшем теневых копий. Том, на котором находится кэш теневых копий, называется томом хранения теневой копии. Кэш теневых копий, как правило, невидим для пользователей, так как находится в скрытой системной папке System Volume Information.
По умолчанию кэш теневых копий создается на томе-источнике, но можно создать его на отдельном физическом диске, чтобы повысить быстродействие и отказоустойчивость. Прежде чем активизировать службу VSS, необходимо выбрать место для хранения кэша теневых копий, так как впоследствии кэш нельзя переместить, не потеряв содержащиеся в нем моментальные снимки. Кроме того, следует учитывать, что при отключении теневых копий на томе удаляются все существующие теневые копии.
Службу VSS можно активизировать только на томах NTFS. Нельзя ввести или исключить конкретные файлы или папки — только «все или ничего». Данные на смонтированных томах не включаются в теневую копию на родительском томе. Однако можно разрешить теневые копии на самих монтированных томах. В теневых копиях сохраняются как шифрование, так и разрешения NTFS, что может привести к проблемам при восстановлении файла.
Активизация VSS
Чтобы активизировать службу VSS, следует выбрать My Computer, затем щелкнуть правой кнопкой мыши на томе, на котором предстоит включить VSS, и выбрать пункт Properties. На странице Properties требуется щелкнуть на вкладке Shadow Copies. Если это уже сделано, необходимо решить, нужно ли сохранить кэш теневых копий на другом томе другого диска.
Затем выделите том-источник и щелкните на кнопке Settings. В диалоговом окне Settings можно выбрать другой том для хранения теневой копии, как показано на экране 1. Можно изменить размер области хранения и расписание (щелкнув на кнопке Schedule), если не подходит готовое расписание. По умолчанию моментальные снимки формируются с понедельника до пятницы в 7 часов утра и в полдень. Моментальные снимки следует создавать по необходимости, делать это каждый час не нужно.
Завершив настройку параметров, щелкните на кнопке OK. На странице Properties требуется щелкнуть на кнопке Enable, чтобы активизировать теневые копии на данном томе. Последует запрос об использовании расписания и настроек по умолчанию; необходимо принять это предложение и щелкнуть на кнопке Yes, а затем вновь на кнопке OK.
Сторонникам утилит командной строки полезно освоить настройку VSS с использованием Vssadmin и Schtasks вместо графического интерфейса. С помощью Vssadmin можно создавать, удалять и изменять размеры теневых копий, наряду с другими операциями. Schtasks применяется для создания, редактирования и удаления назначенных задач.
Требования к дисковому пространству. При активизации VSS немедленно выделяется 100 Мбайт пространства на диске, и VSS может занимать до 10% размера жесткого диска. В моментальных снимках отражаются только изменения по сравнению с предшествующим моментальным снимком, поэтому для их хранения требуется меньше места, чем может показаться на первый взгляд. Однако в кэше теневых копий может храниться только 64 копии. Если не хватит дискового пространства или будет создан 65-й моментальный снимок, то самый старый моментальный снимок удаляется, чтобы освободить место для нового. Из-за избыточности при создании моментальных снимков рекомендуется активизировать VSS только на томах, на которых хранятся пользовательские данные или есть возможность архивировать открытые файлы.
Использование теневых копий Windows 2003
Чтобы обеспечить доступ клиентских компьютеров к предыдущим версиям файлов, необходимо приложение Previous Versions Client, поставляемое вместе с Vista и Windows 2003. Previous Versions Client можно установить и на Windows XP Professional SP1 (файл twcli32.msi находится в папке %Windir%System32ClientsTwclientX86 на компакт-диске Windows 2003), и на Windows 2000 (нужно загрузить соответствующую версию из Web-узла Microsoft ). Чтобы установить клиентскую программу на компьютеры пользователей, следует дважды щелкнуть на файле для запуска установки либо развернуть его через групповую политику или Microsoft Systems Management Server (SMS).
Теневые копии предназначены для использования с Common Internet File System (CIFS), расширенным вариантом протокола Server Message Block, поэтому для доступа к предшествующим версиям файла или папки на сервере нужно подключаться через общую папку. Даже после регистрации на сервере необходимо использовать путь Universal Naming Convention (UNC). Например, для доступа к старым версиям файла на сервере с именем UptownDC в общей папке Sales требуется щелкнуть на кнопке Start, выбрать пункт Run и ввести команду
Щелкните на кнопке OK, а затем правой кнопкой мыши на нужном файле и выберите пункт Properties. На вкладке Previous Versions перечислены моментальные снимки и показаны дата и время их создания (см. экран 2). Здесь представлены три варианта действий: View, Copy и Restore. В режиме View копия файла открывается только для чтения; это удобно для выбора нужной копии. В режиме Restore документ, его разрешения NTFS и параметры шифрования восстанавливаются в первоначальном месте, а текущая версия перезаписывается. Более безопасный вариант — Copy, при котором файл копируется в новое место.
Если нужно восстановить удаленный файл, то очевидно, что нельзя щелкнуть правой кнопкой мыши на файле в общей папке и выбрать его свойства. В этом случае необходимо перейти на уровень папки. Вместо UNC-пути \UptowndcSales подключение выполняется к административному ресурсу диска C (на котором размещается папка Sales): \UptowndcC$. Щелкните правой кнопкой мыши на папке Sales, выберите пункт Properties и щелкните на соответствующей кнопке, чтобы просмотреть, копировать или восстановить все содержимое папки. Если нужен лишь один файл, следует скопировать папку в новое место, затем щелкнуть правой кнопкой мыши на файле и работать с предыдущими версиями этого файла.
Vista и теневые копии
Vista — первая настольная операционная система со встроенными функциями теневых копий. Теневые копии Vista — часть механизма восстановления системы; они называются точками восстановления. По умолчанию точки восстановления активизируются для тома C, и теневые копии файлов создаются ежедневно, если на томе есть хотя бы 300 Мбайт свободного пространства.
Заранее планируемая задача SR создает точки восстановления и активизируется только в том случае, если компьютер бездействовал не менее 10 минут и питается от сети переменного тока. Если по какой-то причине задача SR не запущена в назначенное время, она будет выполнена при первой возможности. Можно назначить точки восстановления и для других томов. Vista отводит до 15% пространства на жестком диске для хранения точек восстановления.
Чтобы настроить точки восстановления и управлять ими, щелкните Start, а затем щелкните правой кнопкой мыши Computer и выберите пункт Properties. В меню Tasks следует перейти к пункту System protection. Для доступа к System protection необходимы административные полномочия, поэтому при запросе от механизма контроля учетных записей щелкните на кнопке Continue.
На вкладке System Protection страницы System Properties (экран 3) можно вручную создать одноразовую точку восстановления: выберите том и щелкните Create, дайте имя точке восстановления и вновь щелкните Create. Процесс может занять несколько минут, в зависимости от размера тома, но после его завершения выдается подтверждение об успешном выполнении. Если создание точек восстановления для тома автоматизировано, Vista создает новую точку восстановления для тома каждый день и при запуске системы.
Доступ к предыдущим версиям файлов и папок в Vista происходит так же, как при доступе через общую папку Windows 2003 с клиента с установленным приложением Previous Versions Client. Но пользователи Vista могут обращаться к прошлым версиям файлов и папок локально. Достаточно открыть Windows Explorer, щелкнуть правой кнопкой мыши на файле или папке, выбрать пункт Properties, а затем щелкнуть на вкладке Previous Versions (экран 4). Варианты такие же, как у прошлых версий Previous Versions Client, и функционируют они аналогичным образом.
VSS и сети хранения данных
Еще одно важное достоинство VSS в Windows Server 2003 Enterprise Edition и Datacenter Edition — возможность быстро и просто копировать и перемещать данные в сети хранения данных SAN. VSS может создать теневую копию тома размером в несколько терабайтов, которую можно экспортировать из SAN и импортировать на сервер всего за несколько минут, очень быстро перемещая большие массивы данных. Каждый производитель систем хранения данных по-разному реализует эту функцию, поэтому за подробной информацией следует обратиться к поставщику.
Настройка конфигурации VSS
Для томов с VSS рекомендуется размер кластеров не менее 16 Кбайт. Записи VSS преобразуются в файлы 16-Кбайт блоками. На томах величиной от 2 до 4 Тбайт размер кластера по умолчанию — 4 Кбайт. Но при кластерах размером менее 16 Кбайт поставщик VSS не может определить, был ли файл дефрагментирован или изменен. Поэтому VSS обрабатывает дефрагментированный файл так же, как измененный, — генерирует новую теневую копию файла. После дефрагментации диска с малыми кластерами кэш теневых копий может очень быстро расти и перезаписывать существующие теневые копии. Дополнительную информацию об этом можно найти в статье Microsoft «Shadow copies may be lost when you defragment a volume» по адресу http://support.microsoft.com/kb/312067 .
Выяснить размер кластеров тома можно с помощью команды Fsutil. Например, чтобы узнать размер кластера тома C, введите команду
Если размер кластера менее 16 Кбайт и его нужно увеличить, необходимо сделать резервную копию данных, переформатировать том, указав больший размер кластера, а затем восстановить данные. Следует учесть, что механизм сжатия файлов в NTFS действует лишь в отношении кластеров размером 4 Кбайт, поэтому приходится выбирать между сжатием и VSS.
Взаимодействие NTBackup и VSS
В прошлом файл, открытый или блокированный службой либо приложением во время архивации, не копировался, что приводило к проблемам, если администраторам требовалось восстановить его. Согласованность данных чрезвычайно важна при работе с приложениями, одновременно открывающими много файлов, такими как базы данных. Если во время архивации открыто много файлов, велика вероятность, что за время между копированием первого и последнего файла в последнем файле произошли изменения. В этом случае данные в восстановленной базе оказываются рассогласованными.
Утилита резервного копирования Windows 2003, NTBackup, использует VSS, чтобы обеспечить полноту и согласованность архивных копий. VSS взаимодействует с компонентом записи приложения, связанного с файлом. Компонент записи защищает данные приложения и предоставляет информацию, в частности, о местонахождении данных и методах архивации и восстановления. Приложения без компонента записи не могут взаимодействовать со службой VSS. В худшем случае администратор может попытаться восстановить важный файл и обнаружить, что его нет вообще: он никогда не архивировался, так как приложение не может взаимодействовать с VSS. В Windows 2003 существуют компоненты записи для AD и NTFS. Чтобы отыскать все доступные компоненты записи на сервере, нужно ввести команду
При запуске NTBackup в Windows 2003 утилита требует ввести список всех компонентов записи, известных VSS. Служба VSS не только перечисляет компоненты записи, но и предоставляет все известные метаданные о них, в том числе методы архивации и восстановления, применяемые в компоненте записи. VSS использует метаданные, чтобы определить, какие приложения поддерживают теневые копии. Если NTBackup направляет в службу VSS запрос на создание теневой копии, то VSS посылает известным компонентам записи сообщение о необходимости заморозить все операции записи данных, создать теневую копию и сохранить ее в разностном файле. Разностный файл отслеживает изменения со времени создания последней теневой копии. Резервное копирование выполняется с использованием данных из разностного файла.
Мониторинг функционирования VSS
Мониторинг теневых копий с использованием системного монитора в Windows 2003 поможет предупредить потенциальные неполадки, прежде чем они повлияют на пользователей. Например, системный монитор предупреждает, что пространство на диске, использованное для теневых копий, приближается к максимально допустимой величине. По умолчанию системный монитор не содержит объектов или счетчиков, которые отслеживают характеристики теневых копий, но администратор может ввести их самостоятельно. Инструкции по созданию счетчиков даны в статье Microsoft «Add counters to System Monitor», опубликованной по адресу http://technet2.microsoft.com/windowsserve. 3.mspx?mfr=true .
С помощью утилиты Volperf (с ключом /install) из набора ресурсов Microsoft Windows Server 2003 Resource Kit можно дополнить системный монитор объектами теневого копирования и следующими счетчиками:
• % Disk Used by Diff Area File: процент пространства на диске, используемого всеми разностными файлами тома;
• Allocated Space (MB): пространство памяти (Мбайт), выделенное для конкретного тома;
• Maximum Space (MB): максимальное пространство (Мбайт), выделенное для тома хранения теневой копии;
• Nb of Diff Area Files: число разностных файлов;
• Nb of Shadow Copies: число теневых копий в кэше теневых копий;
• Size of Diff Area Files: общий размер разностных файлов для выбранного тома;
• Used Space (MB): величина пространства (Мбайт), использованного в томе хранения теневой копии
Преобразование базового диска в динамический и служба VSS
Иногда полезно добавить лишний аппаратный уровень отказоустойчивости, создав зеркальный набор. Зеркальные наборы можно строить только на динамических дисках, поэтому базовый диск необходимо преобразовать в динамический. В документации утверждается, что преобразование дисков из базовых в динамические не приводит к потере данных. Однако в документации ничего не говорится о том, что при неверном преобразовании могут быть удалены существующие теневые копии. Если том-источник и кэш теневых копий расположены на разных томах, то преобразование может оказаться сложной задачей. Дополнительные сведения о различиях между базовым и динамическим дисками описаны в статье «Диски для серверов Windows — базового или динамического типа», опубликованной в Windows IT Pro/RE № 1 за 2003 г.
Выбор процедуры для преобразования VSS-совместимого базового диска в динамический зависит от местонахождения кэша теневых копий на загрузочном томе.
Сценарий 1 — кэш теневых копий расположен не на загрузочном томе. Если кэш теневых копий находится не на загрузочном томе, то необходимо сначала размонтировать том-источник (том, для которого сделан моментальный снимок) с помощью утилиты командной строки Mountvol с параметром /P (/P демонтирует том). Затем следует преобразовать том, содержащий кэш теневых копий, в динамический том. С этого момента начинается отсчет времени: у администратора есть лишь 20 минут, чтобы смонтировать том-источник с использованием утилиты Mountvol или оснастки Disk Management консоли управления MMC. Если том-источник не будет смонтирован за 20 минут, то все теневые копии будут утеряны. Наконец, верните том-источник в оперативный режим и преобразуйте его в динамический том.
Сценарий 2 — кэш теневых копий размещен на загрузочном томе. Если кэш теневых копий находится на загрузочном томе, достаточно просто преобразовать том, содержащий кэш теневых копий, в динамический. Предварительно демонтировать его необязательно. Затем дважды перезагрузите сервер и преобразуйте том-источник в динамический том.
Выгодно конечному пользователю — выгодно администратору
Приятно, что компания Microsoft выпускает новые инструменты для восстановления работоспособности настольной операционной системы и для ИТ-специалистов, и для конечных пользователей. Чем меньше резервных магнитных лент приходится загружать администратору, тем проще ему работать, и точки восстановления Vista — шаг в правильном направлении. Кроме того, благодаря VSS у пользователей появляется возможность управлять процессом восстановления файлов. Но тщательное планирование и управление — обязательное условие полной реализации преимуществ службы VSS.
Пять советов по VSS
При реализации VSS или подготовке точек восстановления Vista рекомендуется делать следующее:
1. Прежде чем активизировать точки восстановления VSS, выберите место хранения теневых копий. Помните, что впоследствии переместить их нельзя.
2. Размещение VSS на системном или загрузочном томе — неудачное решение. Файлы операционной системы часто изменяются, поэтому число теневых копий на загрузочном томе обычно бывает большим.
3. Оптимальный размер кластера для VSS — 16 Кбайт.
4. При хранении кэша теневых копий на физическом диске, отличном от диска-источника, повышается быстродействие и отказоустойчивость.
5. Ни VSS, ни точки восстановления не могут заменить полноценное решение резервного копирования.
Как правило, расшифровать зашифрованные вирусом файлы очень сложно, и иногда, даже невозможно. В таких случаях, есть смысл попробовать восстановить хотя бы то, что могло быть сохранено в снимке файловой системы, и возможно, потеря информации будет минимальной. В общем случае, задача заключается в том, чтобы подключить теневую копию к системе, в виде логического диска или каталога, с которым можно было бы работать стандартными средствами, например, Проводником или любимым файловым менеджером, вроде Far Manager . Подобная задача легко решается стандартными средствами системы. Для работы с теневыми копиями томов используется системная утилита vssadmin.exe имеющаяся в составе всех операционных систем семейства Windows, начиная с Windows XP. Краткую справку по ее использованию можно получить по команде vssadmin /? , а более подробное описание – по ссылке на список команд CMD, размещенной в конце страницы. Эту утилиту можно использовать для получения имен томов с теневыми копиями. Кроме того, в составе средств командной строки CMD Windows имеется команда для создания символьной ссылки mklink , позволяющая подключить том теневой копии в качестве обычного каталога файловой системы. Подсказку и более полное описание mklink можно получить таким же образом, как и для vssadmin.exe . Поскольку, файлы теневых копий интерпретируются системой как обычные тома, то для получения доступа к их содержимому стандартными средствами, достаточно создать символические ссылки на их корневые разделы. Для этого потребуется узнать имя тома теневой копии.
Для работы с данными командами потребуются права администратора ( запуск от имени администратора).
Получить список теневых копий можно с помощью команды:
vssadmin List Shadows
Для удобства работы с результатами вывода утилиты, можно воспользоваться их перенаправлением в файл:
vssadmin List Shadows > C:shadowsvsslist.txt
Результаты выполнения команды будут записаны в текстовый файл vsslist.txt в каталоге shadows диска C: . Каталог shadows должен быть создан, например, командой md c:shadows .
Пример отображаемой информации:
В данном примере, имеется информация о наличии 2-х теневых копий, созданных службой теневого копирования в среде Windows 10, и их имена томов:
Том теневой копии: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
Том теневой копии: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2
Зная имена томов, можно подключить их в каталог, например C:shadows командой mklink :
mklink /D C:shadowsshadow1 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
mklink /D C:shadowsshadow2 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2
Чтобы не набирать вручную имена томов, можно воспользоваться копированием их из текстового файла, полученного перенаправлением вывода команды vssadmin ( C:shadowsvsslist.txt )
Обратите внимание на наличие символа после имени тома, поскольку ссылка должна создаваться на каталог, а не файл (параметр командной строки /D )
После выполнения этих команд, в каталоге C:shadows появятся подкаталоги shadow1 и shadow2 содержащие данные теневых копий. Можно из командной строки перейти в проводник Windows:
Изображение стрелки на ярлыках указывает на то, что это не реальные каталоги файловой системы, а символические ссылки. Дальше, с данными теневых копий можно работать, как с обычным (но защищенным от записи) каталогом файловой системы.
Процесс подключения теневых копий можно немного упростить с помощью командного файла, следующего содержания:
Данный командный файл должен запускаться от имени администратора. При его выполнении создается каталог C:shadows , сохраняется вывод команды vssadmin в файле C:shadowsvsslist.txt , команда FIND выделяет из полученного файла только те строки, которые содержат имя теневой копии, и записывает результат в файл listshadows.txt который можно открыть в блокноте, или с помощью редактора WorPad, затем командой mklink создается символическая ссылка C:shadowsshadow1 на том первой теневой копии и запускается проводник, открывающий папку C:shadows .
При необходимости, можно подключить нужную теневую копию, командой:
mklink /D C:shadowsshadowN \?GLOBALROOTDeviceHarddiskVolumeShadowCopyN
Где N принимает значение номера копии. Копия с наибольшим номером – наиболее свежая. Дату создания каждой копии можно посмотреть в выводе команды vssadmin
Команда mklink не может создать новую ссылку, если указанное в параметрах имя уже существует. Для удаления символьной ссылки можно использовать команду RD :
rd C:shadowsshadow1 — удалить символьную ссылку shadow1
Содержание
Использование теневых копий томов для восстановления файлов с помощью Recuva.
Важной особенностью Recuva является возможность восстановления файлов из теневых копий томов, автоматически создаваемыми службой теневого копирования Windows. Теневые копии утилита интерпретирует как обычные логические диски, примонтированные к текущей системе. Для отображения теневых копий, нужно включить данный режим — Настройки… — Диски — установить флажок Показывать теневые копии . При восстановлении файлов можно выбрать из списка дисковых устройств либо конкретную теневую копию, либо все, существующие в системе на данный момент времени. В настройках программы Действия должен быть установлен флажок Поиск неудаленных данных (восстановление с поврежденного носителя) .
После завершения анализа, нужно найти файл для восстановления, который имеет состояние Не удалено . Таким образом, мы будем восстанавливать не удаленный файл, а файл, сохраненный в снимке файловой системы. Теневых копий, в зависимости от версии Windows, размера дисковых томов, и системных настроек теневого копирования, может быть до 64 шт. И каждая из них может быть источником восстановления для утилиты Recuva, казалось бы, безвозвратно утерянной информации. Но место на диске, отводимое теневым копиям томов ограничено, поэтому, при необходимости, система удаляет наиболее старые из них без каких-либо действий со стороны пользователя. По этой причине, пострадав от действий вируса-шифровальщика, не стоит надолго откладывать восстановление информации из существующих на данный момент снимков. По крайней мере, можно сначала скопировать файлы из теневых копий на сменный носитель, а затем уже приступать к прочим способам восстановления зашифрованных файлов. В противном случае можно не только не добиться их расшифровки, но и потерять возможность восстановления предыдущего содержимого.
Вирусы-шифровальщики тоже постоянно совершенствуются, и в частности, в последнее время пытаются удалить данные теневых копий, используя команду vssadmin . При включенной системе контроля учетных записей пользователей (UAC) это сопровождается запросом на разрешение выполнение для vssadmin.exe , чего естественно, делать не нужно. В случае же отключения UAC потеря теневых копий гарантирована.
Использование стороннего ПО для доступа в теневым копиям томов.
Существует программное обеспечение, облегчающее доступ пользователей домашних компьютеров к данным теневых копий, как например, ShadowExplorer.
Программа позволяет выбрать диск и любую из соответствующих ему теневых копий. Данные отображаются так же, как в стандартном проводнике. Пользователь имеет возможность выбрать нужный файл или каталог и с помощью контекстного меню, вызываемого правой кнопкой мышки, экспортировать его в нужное место, например, на флэшке.
Скачать ShadowExplorer можно на странице загрузки официального сайта ShadowExplorer.com
Программа распространяется в двух вариантах — Installer, устанавливаемом в системе стандартным образом, и Portable, переносимом.
Однако, наиболее удобным средством работы с данными теневых копий является, по моему личному мнению, простая и компактная утилита от Nirsoft ShadowCopyView. Программа бесплатная, не требует установки в системе, и при необходимости, может быть русифицирована с использованием файла языковой поддержки ShadowCopyView_lng.ini , zip-архив которого можно скачать на странице загрузки программы. Готовую русифицированную версию для 32-разрядных или 64-разрядных Windows можно скачать по ссылкам:
Архивы содержат исполняемый файл ShadowCopyView.exe и файл языковой поддержки ShadowCopyView_lng.ini . Если удалить (переименовать) ini-файл, то интерфейс программы будет англоязычным.
Для восстановления данных с использованием теневых копий можно воспользоваться контекстным меню, вызываемым правой кнопкой мышки, или через основное меню ”Файл — Сохранить выбранные файлы в. ”. В качестве дополнительных возможностей имеется средство поиска файлов и папок (CTRL+F), а также возможность получения сведений об их свойствах:
Вероятность восстановления зашифрованных вирусом данных.
Авторы вредоносных программ постоянно работают над тем, чтобы затруднить самостоятельное восстановление данных, зашифрованных вирусом. При заражении системы принимаются меры для того, чтобы удалить теневые копии или сделать их непригодными для восстановления данных. Эта задача очень легко решается, если вирус работает в среде пользователя с правами администратора при отключенной технологии контроля учетных записей пользователей UAC . В качестве примера приведу алгоритм действий реального вируса-шифровальщика, выполняющегося в системе со стандартными настройками безопасности в контексте учетной записи пользователя, обладающего правами администратора.
В большинстве случаев, заражение системы происходит при открытии вложенного в электронное письмо файла. Первая ошибка, допущенная пользователем – сам факт открытия такого файла. Даже если текст письма довольно правдоподобен, существует возможность просмотра заголовка письма, по которому легко установить достоверность отправителя. Подробная методика:
Тема заражения компьютера через почтовые вложения стара, как компьютерный мир, но тем не менее, остается актуальной, и большинство заражений происходят именно таким образом. В данном конкретном случае, вложенный файл представлял собой архив, содержащий сценарий на языке JavaScript, обеспечивающий загрузку с сервера злоумышленников основного тела вируса и выполнение его в контексте учетной записи текущего пользователя. Исполняемый файл вируса имеет случайное имя и копируется в папку документов пользователя. Пример свойств вирусного процесса, полученный с помощью Far Manager:
В первую очередь, вирусный процесс попытался удалить все теневые копии системы, выполняя команду:
"C:WindowsSystem32vssadmin.exe" Delete Shadows /All /Quiet
В тех случаях, когда вредоносная программа выполняется в контексте учетной записи с административными правами и отключен механизм контроля UAC, теневые копии будут успешно удалены, и пользователь этого даже не заметит. При включенном контроле учетных записей UAC, отобразится оповещение системы безопасности:
Интерфейс командной строки для Microsoft Volume Shadow Copy Service запрашивает разрешение на выполнение с административными привилегиями. Если на данный запрос ответить ”Да”, то результат будет таким же, как и в предыдущем случае – теневые копии будут удалены. Если же ответить ”Нет”, то программный модуль вируса повторит попытку удаления теневых копий и на экране снова отобразится сообщение системы безопасности. Так будет продолжаться до тех пор, пока не будет нажата кнопка ”Да” или вирусный процесс не будет принудительно завершен. Как правило, большинство пользователей, не задумываясь над смыслом своих действий, после нескольких повторившихся запросов, выбирают первый вариант, тем самым лишая себя последней возможности восстановления данных.
Использование теневых копий томов является единственным относительно простым способом полного или частичного восстановления информации, зашифрованной вредоносными программами. Конечно, кроме восстановления с использованием ранее созданных резервных копий, которые практически никогда не имеются в наличии. В подавляющем большинстве случаев, расшифровка невозможна. С мизерной вероятностью может помочь специализированное программное обеспечение антивирусных компаний, специально разработанное для расшифровки файлов, как например утилиты RakhniDecryptor, RannohDecryptor, ScraperDecryptor и т.п. от лаборатории Касперского. Как правило, такие утилиты позволяют расшифровать только те файлы, которые были обработаны устаревшим вирусом. Для ускорения процесса, можно отправить пример зашифрованного файла и требуемый код через специальные формы на сайтах антивирусных компаний. Если у вас есть копия этого же файла в незашифрованном виде, отправьте ее также. Теоретически, это может ускорить появление утилиты-дешифратора.
В качестве средства защиты от вирусов-шифровальщиков можно использовать специальные программы для создания резервных снимков файловой системы и восстановления на основе сделанного ранее снимка, как например, бесплатные Comodo Time Machine и Rollback Restore Rx Home и платная RollBack Restore Rx Pro. Эти программные продукты работают по принципу ”машины времени”, позволяя быстро вернуть состояние файловой системы на момент создания ее снимка (snapshot). В платных версиях подобных программ ( и в бесплатном Comodo Time Machine) существует возможность автоматического создания снимков по расписанию с помощью встроенного планировщика, например, при первой загрузке ежедневно или с заданной периодичностью. Особенностью перечисленных программ является собственная внутренняя система безопасности, отдельный загрузчик ОС и программный движок для создания, хранения и восстановления данных, что создает серьезные трудности для нанесения ущерба при вирусном заражении, в том числе и шифровальщиками.
Comodo Time Machine — описание, примеры использования и ссылки для скачивания.
RollBack Rx Home Edition — краткое описание, ограничения бесплатной версии программы, примеры использования.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться"
