shadow volume copy چیست؟
مایکروسافت از ویندوز xp سرویس پک ۲ و ویندوز سرور ۲۰۰۳ به بعد یک فناوری جدید به نام سرویس Shadow Volume Copy یا به اختصار VSS در سیستم عاملهایش گنجاند. این سرویس اجازه میدهد تا ویندوز از وضعیت جاری فایلها و فولدرهای یک پارتیشن یا درایو خاص، بکاپهای اتومات و دستی و یا اسنپشات بگیرد. نکتهی قابل توجه این فرایند این است که حتا از فایلهای باز هم میتوان بکاپ گرفت. بنابراین میتوان با استفاده از برنامههای پشتیبانگیری و خودِ ویندوز سابقهی قابل اعتمادی از فایلهای کامپیوتر را نگهداری کرد.
وقتی این بکاپها ساخته می شوند در محل مخصوصی به نام Shadow Volume Copy یا SVC ذخیره میشوند. سپس نرمافزارهای پشتیبانگیری و ویندوز از این SVC ها برای بازیابی فایلهایی که احتمالا پاک شدهاند و یا به طریقی تغییر یافتهاند استفاده میکنند. وقتی با VSS بکاپی گرفته میشود، فایلها توسط روش ورژن، بکاپگیری میشوند؛ یعنی به جای این از که کل یک فایل بکاپ گرفته شود، فقط از تغییرات آن بکاپ گرفته میشود. بنابراین از یک فایل ورژنهای مختلفی داریم بدون اینکه حجم زیادی از دیسک بیهوده مصرف شود. قابل ذکر است که این سرویس به صورت پیشفرض در ویندوزفعال نیست. فعال کردن و تنظیمات آن در پست دیگری توضیح داده خواهد شد.
همان طور که دیدید این فناوری برای ریکاوری فایلهای تغییریافته و پاک شده بسیار سودمند است. موقعیتهایی که میتوان از این قابلیت استفاده کرد شامل ریکاوری یک بازی قدیمی ذخیرهشده، ریکاوری فایلهایی که توسط باجافزارها رمزگذاری شدهاند و ریکاوری فایلهایی که به طور تصادفی پاک شدهاند، میباشد.
در این پست دو روشی که برای بازیابی فایلها از SVC مورد استفاده قرار میگیرد را بیان میکنیم. روش اول مکانیزم خود ویندوز است که ورژنِ قبل یا Previous Versions نام دارد. و روش دوم استفاده از ابزار ShadowExplorer است که میتوانید ورژنهای مختلف فایل ها را ببینید و درصورت نیاز آنها را بازیابی کنید.
بازیابی فایلها و فولدرها با ابزار Previous Versions ویندوز
ویندوز دارای یک ویژگی به نامPrevious Versions است که به شما اجازه میدهد تا کپیهای قبلی یک فایل بخصوص را از اسنپشاتهای SVC بازیابی کنید.
برای بازیابی یک فایل تنها، فولدر آن فایل را باز کنید. روی فایل موردنظر راستکلیک کرده و مانند شکل زیر روی گزینه Properties کلیک کنید.
بعد از این که صفحهی properties باز شد تب Previous Versions را انتخاب کنید. حالا در صفحهای هستید که میتوانید تمام ورژنهای قبلی ذخیره شده در Shadow Copy را ببینید. در کنار هر ورژن تاریخ متناظر با زمان بکاپگیری را مشاهده خواهید کرد.
برای بازیابی فایل میتوانید روی دکمه Copy یا Restore کلیک کنید. دکمه Copy به شما اجازه میدهد تا فایل مورد نظر را در محل دیگری کپی کنید اما با کلیلک بر روی دکمه Restore ورژنی که انتخاب کردید در همان محل فایل اصلی و روی آن ذخیره خواهدشد. پیشنهاد میشود محل دیگری را برای این کار در نظر بگیرید و از دکمهی Copy استفاده کنید تا مطمئن شوید همان چیزی را که به دنبالش بودید پیدا کردید.
اما برای بازیابی یک فولدر به بصورت زیر عمل میکنیم.
مراحل ریکاوری کل یک فولدر با ابزار Previous Versions تقریبا با ریکاوری فایل مشابه است.
فولدر مورد نظر خود را باز کنید و روی فضای خالی آن راستکلیک کرده و گزینهی properties را بزنید. روی تب Previous Versions بروید و باقی مراحل مانند حالت قبل خواهد بود.
ریکاوری فایلها و فولدرها با استفاده از ShadowExplorer
ShadowExplorer ابزار دیگری است که میتوانید با آن فایلها و فولدرهای ذخیرهشده در SVC را بازیابی کرد. رابط کاربری این نرمافزار بسیار ساده است و با چند مرحله ساده میتوانید فایلها و فولدرهای خود را بازیابی کنید. برای اجرای این نرمافزار، هم میتوانید از نسخهی قابلحمل آن و هم از نسخه قابلنصب آن استفاده کنید. برای دریافت آخرین نسخه ShadowExplorer به این آدرس مراجعه کنید.
بدون توضیح خاصی با توجه به عکسهای زیر میتوانید از این نرمافزار استفاده کنید.
چرا باجافزارها سعی میکنند Shadow Volume Copy ها را پاک کنند؟
تاکتیک مورد استفاده باجافزارها این است که زمانی که میخواهد اطلاعات کامپیوتر قربانی را رمزگذاری کنند، SVC ها را پاک میکنند. همانطور که در بالا مشاهده نمودید، چون ریکاوری فایلها به سادگی از این طریق امکانپذیر است، باج افزارها سعی میکنند تا این امکان را از شما بگیرند. باجافزارها برای انجام این کار از دستور زیر استفاده میکنند:
C:\Windows\Sysnative\vssadmin.exe” Delete Shadows /All /Quiet
با اجرا شدن این دستور پیغامی روی صفحه نمایش داده میشود در مورد این که آیا تمایل دارید این دستور با دسترسی مدیرسیستم اجرا شود؟ اگر گزینهی Yes را انتخاب کنید vssadmin.exe تمام Shadow Volume Copy های تمام دریاوهایتان را از روی کامپیوتر پاک میکند. در بعضی موارد هم باجافزار این دستور را در Powershell یا WMIC اجرا خواهد کرد. با پاک شدن SVC ها باجافزار به هدف خود میرسد و تمام قایلها و اطلاعات شما را رمزگذاری میکند.
- برچسب ها:
- ویندوز