Рассекать снимки восстановления системы

Question

Есть ли способ сопоставить A000????.??? имена файлов в системном томе Информация к их исходным именам, без их восстановления?

Причина, по которой я спрашиваю, состоит в том, что несколько файлов в RP1 информации о томе системы одного пользователя были заражены руткитом. Хотя они были удалены, я бы хотел выяснить, кем они были изначально. A0001253.sys и A0001211.sys не очень полезные имена. :)

Это произошло на двух системах: одна XP SP2, другая XP SP3.

Answer 1

См. Пункт «Восстановление точек экспертизы», в котором подробно описываются точки восстановления.

Короче говоря, переименованные файлы отслеживаются в файле "change.log". Найдите интересующее имя файла (исходное расширение остается неизменным), и перед переименованным именем файла будет найден исходный путь: