Что содержат точки восстановления Windows и как просмотреть их содержимое
Если у вас включена защита системы, через определенное время и перед установкой вносящего серьезные изменения в конфигурацию системы программного обеспечения Windows станет создавать точки восстановления — резервные копии наиболее важных системных файлов, а также файлов установленных программ и файлов, хранящих настройки учетной записи пользователя. Если на компьютере возникла проблема, пользователь может запустить командой rstrui мастер отката к точке восстановления и выполнить процедуру восстановления.
При следующей загрузке Windows сравнит содержимое резервируемых каталогов и заменит изменённые файлы файлами, содержащимися в резервной копии, в результате чего будет восстановлена нормальная работа системы.
Данное решение с успехом применяется уже более двадцати лет, но оно не идеально и имеет свои недостатки. Во-первых, откат к предыдущей точке восстановления может нарушить и часто нарушает работу программ, установленных или настроенных после создания точки восстановления, во-вторых, если пользователь знает, какой именно файл вызвал проблему, ему нет никакой необходимости восстанавливать все файлы. В таких случаях было бы очень неплохо извлечь из точки восстановления нужный файл и заменить им повреждённый из-под LiveCD или в безопасном режиме. Возможно ли такое и если возможно, то как это сделать и где искать эти точки восстановления?
Где Windows хранит теневые копии
Точки восстановления Windows хранятся в скрытой системной папке System Volume Information, это файлы без расширения, в качестве имен которых используются 128-битные идентификаторы. Так как доступ к System Volume Information закрыт на уровне NTFS, для просмотра содержимого этого каталога вам придется загрузить компьютер с живого диска на базе Linux, однако вы не сможете открыть сам файл теневой копии и вытащить из него нужные элементы.
Частично обойти эти ограничения можно средствами самой Windows, создав на файл системной точки восстановления обычную символическую ссылку.
Для этого вам нужно сначала определить номер теневой копии.
Это нетрудно, выведите список теневых копий в запущенной от имени администратора командной строке, выполнив в оной команду:
Найдите параметр «Том теневой копии», скопируйте его и выполните в консоли команду такого вида:
Как вы поняли, том теневой копии в команде это HarddiskVolumeShadowCopy1, к которому указывается путь (начинается с двух слешей).
После выполнения команды в корне диска С у вас появится ссылка на каталог shadow, перейдя по ней, вы попадете внутрь выбранной точки восстановления.
Работаем с ней как с обычной папкой, находя и копируя из нее нужные нам файлы и каталоги.
В чём недостаток такого подхода?
Используем ShadowExplorer
Есть и более простой способ получить доступ к системным точка восстановления — воспользоваться специально созданной для их просмотра утилитой ShadowExplorer.
Программа уже не развивается, для работы ей нужен устаревший NET. Framework 3.5, если решите использовать приложение в Windows 10, скорее всего, вам придется установить этот компонент.
После запуска ShadowExplorer выводит содержимое самой ранней точки восстановления, если точек две, три или больше, выбрать нужную можно в будет выпадающем меню, расположенном в левом верхнем углу окна утилиты.
Внешне интерфейс ShadowExplorer напоминает Проводник: слева колонка разделов, в папках System Volume Information которых хранятся теневые копии, в большей правой колонке отображается содержимое теневой копии, выбранной в колонке слева. В контекстном меню элементов правой колонки доступна всего одна опция, без которой программа оставалась бы простым просмотрщиком. Эта опция — Export, она позволяет извлекать из теневых копий отдельные элементы — папки и файлы. Выберите ее, укажите в открывшемся окне обзора место сохранения, нажмите «OK» и нужный вам файл или каталог будут извлечены и сохранены на жесткий диск.
Программу можно скачать по ссылке www.shadowexplorer.com/downloads.html
