В последнее время я сталкивался с несколькими случаями, когда у меня есть доступ к необработанным файлам, созданным теневой службой томов в Windows, где моя цель - восстановить файлы из теневой копии, к которым у нас больше нет доступа другими способами.
Моя текущая проблема связана с Locky-вариантом семейства Ransomware, где любые теневые копии были стерты командой vssadmin на зараженном компьютере с Windows 7. Мне удалось восстановить информацию о томе системы через testdisk из отдельной установки Ubuntu и поместить восстановленные файлы обратно в папку « System Volume Information ». В предыдущем случае мне не нужно было восстанавливать информацию о томе системы, и у нее не было вируса-вымогателя, но я все еще не мог использовать libvshadow для просмотра хранилища теневых копий.
Насколько я понимаю, VSS хранит свои теневые копии в C:\System Volume Information\ . Каждая "копия" хранится в виде отдельного файла с именем, подобным GUID ({6d947e68-7c32-11e7-8b12-1078d273ab75}{3808876b-c176-4e48-b7ae-04046e6cc752}). В моем случае у меня есть несколько таких файлов, каждый размером от 600 МБ до 1,1 ГБ.
Диск подключается через док-станцию USB к стандартной настольной установке Ubuntu 16.04, а раздел Windows монтируется в /media/user/Windows 7 OS/ через /dev/sdc2 . Когда я запускаю vshadowinfo /dev/sdc2 , мне говорят, что там 0 магазинов.
Итак, вопрос в том, как мне получить доступ к этим файлам, когда кажется, что все находится в подходящем месте, но как vshadowinfo в Linux, так и ShadowExplorer в Windows говорят мне, что нет доступных магазинов?