ความสามารถในการสร้างกำหนดการสำหรับ Shadow Copies ใน Windows7
Shadow Copy เป็นคุณลักษณะใหม่ที่นำมาใช้ใน Windows XP และ Windows Server 2003 ซึ่งช่วยให้สามารถเก็บถาวรไฟล์ที่เปิดอยู่ได้
เมื่อใดที่คุณควรเก็บถาวรไฟล์ที่เปิดอยู่? ตัวอย่างเช่น สมมติว่าสถานที่ทำงานแห่งหนึ่งของคุณยังมีโปรแกรมบัญชีเก่าทำงานอยู่ ไม่มีกลไกการเก็บข้อมูลถาวรและสามารถจัดเก็บข้อมูลไว้ในเครื่องคอมพิวเตอร์เท่านั้น ผู้ดูแลระบบนั่นคือคุณจะต้องคิดถึงการเก็บถาวรฐานข้อมูล
ขณะเก็บถาวรไฟล์เหล่านี้ผ่านเครือข่าย คอมพิวเตอร์ของนักบัญชีจะต้องเปิดอยู่ แต่โปรแกรมจะต้องไม่ทำงานเพื่อไม่ให้ไฟล์ยังคงเปิดอยู่ แต่โปรแกรมนี้เขียนเป็นเวิร์กสเตชันอัตโนมัติ เริ่มต้นเมื่อคอมพิวเตอร์เปิดอยู่ และสิ้นสุดเมื่อปิดเครื่อง และคุณทำได้เพียงสาปแช่งผู้เขียนเท่านั้น
ทางออกจากสถานการณ์นี้คือการติดตั้ง Windows XP Professional ในที่ทำงานของนักบัญชี (เราเชื่อว่าโปรแกรมปกติจะทำงานภายใต้ระบบปฏิบัติการนี้) หลังจากนี้คุณจะสามารถเก็บถาวรไฟล์การทำงานทั้งหมดของโปรแกรมนี้ได้โดยไม่ต้องคำนึงว่าจะเสร็จสมบูรณ์หรือไม่ก็ตาม
Shadow Copy และโฟลเดอร์ที่ใช้ร่วมกัน
เมื่อใช้มัน คุณสามารถกลับไปยังไฟล์เวอร์ชันก่อนหน้าในโฟลเดอร์แชร์บนเซิร์ฟเวอร์ได้ ข้อเท็จจริงต่อไปนี้มีความสำคัญมากกว่ามาก ใน Windows เวอร์ชันก่อนหน้า (รวมถึง Windows 2000) การลบไฟล์ออกจากโฟลเดอร์ที่แชร์ผ่านเครือข่ายทำให้เกิดการสูญเสียที่แก้ไขไม่ได้ - ไฟล์นั้นไม่อยู่ในถังรีไซเคิลด้วยซ้ำ และใน Windows Server 2003 ด้วยการลบไฟล์ คุณสามารถกู้คืนเวอร์ชันก่อนหน้าได้ ซึ่งอาจเหมือนกับเวอร์ชันปัจจุบัน
ตามค่าเริ่มต้น Shadow Copy ของโฟลเดอร์สาธารณะจะถูกปิดใช้งาน มันถูกเปิดใช้งานบนเซิร์ฟเวอร์สำหรับพาร์ติชันที่มีโฟลเดอร์ที่ใช้ร่วมกันอยู่ จะต้องเป็นพาร์ติชันที่มีระบบไฟล์ NTFS
1.ลงทะเบียนบนเซิร์ฟเวอร์ในฐานะผู้ดูแลระบบ เปิดหน้าต่างคุณสมบัติไดรฟ์ C:
2.ไปที่แท็บ Shadow Copy คุณจะเห็นว่าคุณลักษณะนี้ถูกปิดใช้งาน
3. คลิกปุ่มตัวเลือกและแก้ไขคุณสมบัติของส่วนปัจจุบัน คุณสามารถระบุความถี่ในการคัดลอกพาร์ติชัน (วันละสองครั้งตามค่าเริ่มต้น) และจำนวนเนื้อที่ดิสก์ที่จะจัดสรรสำหรับการคัดลอก ขอแนะนำให้คงค่าเริ่มต้นไว้ ปิดกล่องโต้ตอบด้วยการคลิกตกลง
4. คลิกปุ่มอนุญาต และในกล่องโต้ตอบถัดไป ให้ยืนยันการตัดสินใจของคุณโดยคลิกใช่
ทันทีหลังจากนี้ การสร้างสำเนาแรกของพาร์ติชันจะเริ่มขึ้น ข้อมูลเกี่ยวกับการกระทำนี้ในรูปแบบของวันที่และเวลาจะปรากฏที่ด้านล่างของหน้าต่าง
บันทึก.
ไม่จำเป็นต้องคัดลอกพาร์ติชันไปยังฟิสิคัลดิสก์เดียวกัน หากคุณติดตั้งฟิสิคัลดิสก์หลายตัว คุณจะปรับปรุงประสิทธิภาพของระบบย่อยของดิสก์ได้อย่างมากโดยการชี้สำเนาไปยังดิสก์อื่น เงื่อนไขเดียวคือดิสก์นี้ต้องได้รับการฟอร์แมตในระบบไฟล์ NTFS
การจัดระเบียบการคัดลอกเงาบนเวิร์กสเตชัน
คอมพิวเตอร์ไคลเอนต์ที่ใช้ Windows XP Professional ไม่สามารถใช้คุณสมบัติ Shadow Copy ได้ในทันที ก่อนอื่นคุณต้องติดตั้งซอฟต์แวร์ไคลเอนต์ลงไป ไฟล์การติดตั้ง TWCLI32 .MSI อยู่บนเซิร์ฟเวอร์ (ใช้งาน Windows Server 2003) ในโฟลเดอร์ %SYSTEMROOT%\system32\clients\twclient\x86
1. เข้าสู่ระบบคอมพิวเตอร์ของคุณในฐานะผู้ดูแลระบบ
2.เริ่ม Explorer และป้อนเส้นทาง \\ชื่อเซิร์ฟเวอร์\ ในแถบที่อยู่
c$\windows\system32\clients\twclient\x86\twcli32.msi
ไคลเอ็นต์เวอร์ชันก่อนหน้าจะถูกติดตั้ง
ไคลเอนต์สำหรับระบบปฏิบัติการ Windows 2000 Server ที่ติดตั้ง SP3 และใหม่กว่า Windows 2000 Professional และ Windows98 สามารถดาวน์โหลดได้จากเว็บไซต์ Microsoft ที่ http: / /www. ไมโครซอฟต์ com/windowsserver203/downloads/shadowcopyclient.mspx
ไม่มีไคลเอ็นต์ดังกล่าวสำหรับระบบปฏิบัติการ Windows NT 4.0 สำหรับระบบที่ต่ำกว่า Windows XP ต้องติดตั้งโปรแกรมไคลเอนต์ทั้งบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ที่ใช้ Windows Server 2003
การใช้การคัดลอกเงา
หากต้องการใช้ประโยชน์จากการคัดลอกเงา:
1. ลงทะเบียนบนคอมพิวเตอร์ในฐานะผู้ใช้ทั่วไป
2.เปิดโฟลเดอร์แผนกของคุณในการจัดเก็บเอกสารที่ใช้ร่วมกัน
3. แสดงคุณสมบัติของไฟล์ใด ๆ (ควรเป็นข้อความ) ไปที่แท็บเวอร์ชันก่อนหน้า เนื่องจากติดตั้ง Shadow Copy Client แล้ว จึงไม่มีการสร้างเวอร์ชันก่อนหน้า ดังนั้นรายการจึงว่างเปล่า
4.เปิดไฟล์ แก้ไข และบันทึกไว้ในชื่อเดียวกัน
5.ทำซ้ำขั้นตอนที่ 3 ตอนนี้บนแท็บเวอร์ชันก่อนหน้า คุณจะเห็นไฟล์เวอร์ชันก่อนหน้าพร้อมวันที่สร้าง
6. คุณสามารถดูได้โดยคลิกปุ่มแสดง สำเนาเอกสารเป็นแบบอ่านอย่างเดียวและไม่สามารถเปลี่ยนชื่อหรือบันทึกได้ หากต้องการคืนค่าเวอร์ชันก่อนหน้าโดยใช้ชื่ออื่น คุณต้องคัดลอกไปยังตำแหน่งอื่นก่อนโดยคลิกปุ่มคัดลอก
หากคุณลบไฟล์ออกจากโฟลเดอร์ที่ใช้ร่วมกันโดยไม่ตั้งใจ และต้องการกู้คืน ให้ดำเนินการดังนี้:
1.จากคอมพิวเตอร์ไคลเอนต์ แสดงคุณสมบัติของโฟลเดอร์ที่มีเอกสารอยู่ และไปที่แท็บเวอร์ชันก่อนหน้า
2. คลิกปุ่มแสดงและดูเนื้อหาของเอกสารเวอร์ชันก่อนหน้า หากคุณพอใจแล้ว ให้สร้างเอกสารใหม่และคัดลอกเนื้อหาลงในเอกสารโดยใช้คลิปบอร์ด
หากคุณแก้ไขและบันทึกเอกสารโดยไม่ตั้งใจ คุณสามารถคืนค่าเวอร์ชันที่ถูกต้องได้โดยคลิกปุ่มคืนค่าบนแท็บเวอร์ชันก่อนหน้า
ดังนั้นคุณสมบัติ Shadow Copy จะช่วยให้ผู้ใช้กู้คืนเอกสารที่อยู่ในโฟลเดอร์แชร์ได้อย่างรวดเร็วในกรณีต่อไปนี้:
* ในกรณีที่มีการลบไฟล์โดยไม่ได้ตั้งใจ
* ในกรณีที่มีการเปลี่ยนแปลงเนื้อหาของไฟล์โดยไม่ได้ตั้งใจ (ใช้คำสั่งบันทึกแทนบันทึกเป็น)
* หากไฟล์เสียหาย
โปรดทราบว่าพาร์ติชันทั้งหมดจะถูกคัดลอก ไม่ใช่แค่โฟลเดอร์ที่สามารถเข้าถึงเครือข่ายได้ในขณะที่ทำการคัดลอก ซึ่งหมายความว่าหากคุณให้สิทธิ์การเข้าถึงโฟลเดอร์ใหม่หลังจากสร้างสำเนาแล้ว ไฟล์เวอร์ชันก่อนหน้าจะพร้อมใช้งานสำหรับผู้ใช้นับตั้งแต่วินาทีที่คุณเปิดการเข้าถึง
บทความก่อนหน้านี้พูดคุยเกี่ยวกับความสามารถในการสำรองข้อมูลของ Windows 7 - การสร้างไฟล์เก็บถาวรและอิมเมจของดิสก์ บทความนี้เกี่ยวข้องกับการกู้คืนไฟล์จากไฟล์เก็บถาวรและระบบจากดิสก์อิมเมจตลอดจนการกู้คืนไฟล์เวอร์ชันก่อนหน้า
ในหน้านี้:
การกู้คืนไฟล์จากไฟล์เก็บถาวร
ใน Windows 7 คุณสามารถกู้คืนไฟล์จากไฟล์เก็บถาวรได้โดยใช้รายการแผงควบคุม
ในหน้าต่างหลักของรายการแผงควบคุม มีตัวเลือกการกู้คืนไฟล์สามตัวเลือก:
- กู้คืนไฟล์ของฉัน- ให้คุณเลือกไฟล์และโฟลเดอร์แต่ละไฟล์สำหรับการกู้คืน
- กู้คืนไฟล์ของผู้ใช้ทั้งหมด- ยังให้คุณเลือกไฟล์และโฟลเดอร์แต่ละไฟล์ แต่สำหรับผู้ใช้คอมพิวเตอร์ทุกคน
- เลือกข้อมูลสำรองอื่นเพื่อกู้คืนไฟล์- ช่วยให้คุณสามารถกู้คืนไฟล์ของผู้ใช้ทั้งหมดรวมถึงเลือกไฟล์เก็บถาวรที่อยู่ในไดรฟ์เครือข่าย
ด้านล่างนี้เราจะกล่าวถึงการกู้คืนไฟล์ "ของฉัน" หน้าต่างแรกของ File Recovery Wizard เต็มไปด้วยตัวเลือกต่างๆ ดังนั้นเรามาทำตามลำดับกัน
การเลือกวันที่เก็บถาวร ตามค่าเริ่มต้น ระบบจะใช้ไฟล์เก็บถาวรล่าสุด ซึ่งระบบจะรายงานในหน้าต่าง คุณสามารถเลือกวันที่ก่อนหน้าได้ เช่น หากคุณต้องการสำเนาไฟล์ที่เก่ากว่า
ดูเหมือนว่าอินเทอร์เฟซได้รับการออกแบบสำหรับการเก็บถาวรบ่อยมาก - ตามค่าเริ่มต้นแล้ว ระบบจะแสดงไฟล์เก็บถาวรสำหรับสัปดาห์ที่แล้ว (ในความคิดของฉัน การแสดงไฟล์เก็บถาวรสำหรับเดือนนั้นทันทีจะเหมาะสมกว่า) แต่คุณสามารถเลือกไฟล์ที่เก่ากว่าได้แน่นอน
ค้นหาไฟล์ นี่เป็นเครื่องมือที่สะดวกมากที่ช่วยให้คุณสามารถค้นหาไฟล์ที่คุณต้องการในไฟล์เก็บถาวรได้ทันที
โปรดทราบว่าหน้าต่างนี้ใช้อินเทอร์เฟซ explorer เช่น ในผลการค้นหาคุณสามารถเลือกคอลัมน์คุณสมบัติไฟล์ที่ต้องการและจัดเรียงตามคอลัมน์เหล่านั้นได้ (แต่ไม่มีการจัดกลุ่ม)
การเพิ่มไฟล์และโฟลเดอร์ นอกจากการค้นหาแล้ว ยังสามารถเพิ่มไฟล์และโฟลเดอร์แต่ละไฟล์ได้ - แต่ละการกระทำจะมีปุ่มของตัวเอง
รายการไฟล์ที่สามารถกู้คืนได้ ชื่อของโฟลเดอร์ที่เพิ่มและแต่ละไฟล์จะปรากฏขึ้น
การลบไฟล์และโฟลเดอร์ออกจากรายการ ไฟล์และโฟลเดอร์จะถูกลบออกจากรายการที่สามารถกู้คืนได้เท่านั้น แต่ไม่ใช่จากไฟล์เก็บถาวร
ดำเนินการเลือกปลายทางสำหรับไฟล์ที่กู้คืน คุณสามารถกู้คืนไฟล์ได้:
- ไปยังสถานที่เดิม ในกรณีนี้ หากมีไฟล์ชื่อเดียวกัน ระบบจะแสดงกล่องโต้ตอบมาตรฐานที่ขอให้คุณเขียนทับไฟล์ บันทึกทั้งสองสำเนาในโฟลเดอร์ หรือปฏิเสธการคัดลอก
- ไปยังสถานที่ที่คุณระบุ ในกรณีนี้ คุณสามารถกู้คืนไฟล์ได้ในขณะที่ยังคงรักษาโครงสร้างโฟลเดอร์ โดยเริ่มจากรูทไฟล์เก็บถาวร (เน้นในรูป)
เมื่อตัดสินใจเลือกตำแหน่งสุดท้ายของไฟล์ที่จะกู้คืนแล้วให้คลิกปุ่ม คืนค่า.
การกู้คืนไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้า
ลองนึกภาพว่าในขณะที่ทำงานกับเอกสาร คุณได้ลบบางส่วน บันทึกไฟล์ และปิดแอปพลิเคชัน แล้วจู่ๆ พวกเขาก็จำได้ว่าได้ลบบางสิ่งที่สำคัญมากไปแล้ว หรือลองนึกภาพว่าคุณลบไฟล์เลยถังขยะไป และหนึ่งเดือนต่อมาคุณก็ต้องการมันจริงๆ ในทั้งสองกรณี คุณมีโอกาสที่ดีในการกู้คืนไฟล์เวอร์ชันก่อนหน้าที่สามารถบันทึกใน Windows 7 ได้สองวิธี:
- ไฟล์เก็บถาวรที่สร้างโดยใช้ Windows Backup
- Shadow Copy ที่สร้างโดยการป้องกันระบบโดยใช้ Volume Shadow Copy Service
เข้าถึงการคืนค่าเวอร์ชันก่อนหน้าได้จากคุณสมบัติไฟล์หรือโฟลเดอร์บนแท็บ รุ่นก่อนหน้า.
การกู้คืนไฟล์เวอร์ชันก่อนหน้าจากไฟล์เก็บถาวร
หากไฟล์รวมอยู่ในไฟล์เก็บถาวรโดยใช้เครื่องมือสำรองข้อมูลของ Windows ในคุณสมบัติของไฟล์บนแท็บ รุ่นก่อนหน้า การเก็บถาวร.
หากเมื่อกู้คืนไฟล์ ระบบตรวจพบว่ามีไฟล์ชื่อเดียวกันอยู่แล้ว คุณจะได้รับแจ้งให้เขียนทับไฟล์ที่มีอยู่ บันทึกด้วยชื่ออื่น หรือปฏิเสธการกู้คืน
แน่นอนว่าไฟล์เดียวกันสามารถกู้คืนได้จากแผงควบคุม แต่การทำเช่นนี้จากคุณสมบัติของไฟล์อาจสะดวกและรวดเร็วกว่า
การกู้คืนไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้าจาก Shadow Copy
เพื่อให้สามารถกู้คืนไฟล์และโฟลเดอร์จาก Shadow Copy ได้ การป้องกันระบบจะต้องทำงานอยู่ ซึ่งจะเปิดสำหรับแต่ละดิสก์แยกกัน อาจไม่ชัดเจนเกินไป แต่การตั้งค่าการป้องกันระบบจะควบคุมการทำงานและจำนวนพื้นที่ดิสก์สำหรับบริการ Volume Copy Shadow Copy ซึ่งให้ที่เก็บข้อมูลสำหรับจุดคืนค่าระบบและ Shadow Copy ของไฟล์และโฟลเดอร์
Shadow Copy จะไม่ถูกจัดเก็บอย่างไม่มีกำหนด พวกเขาจะได้รับการจัดสรรพื้นที่ดิสก์เป็นเปอร์เซ็นต์และเมื่อถึงขีดจำกัดที่ระบุ สำเนาเก่าจะถูกแทนที่ด้วยสำเนาใหม่ เนื่องจากกล่าวถึงการป้องกันและการกู้คืนระบบ ในที่นี้ฉันจะพิจารณาเฉพาะการกู้คืนเวอร์ชันก่อนหน้าเท่านั้น
จาก Shadow Copy คุณสามารถกู้คืนเวอร์ชันก่อนหน้าได้:
- แยกไฟล์
- โฟลเดอร์ไฟล์
การกู้คืนไฟล์แต่ละไฟล์จาก Shadow Copy เกือบจะเหมือนกับการกู้คืนไฟล์จากไฟล์เก็บถาวร ในแท็บคุณสมบัติไฟล์ รุ่นก่อนหน้าคุณจะเห็นรายการเวอร์ชันและตำแหน่งจะถูกระบุ จุดคืนค่า.
ไม่เหมือนกับไฟล์ที่บันทึกไว้ในไฟล์เก็บถาวร ในกรณีนี้ คุณจะมีตัวเลือกในการเปิดและคัดลอกไฟล์ไปยังโฟลเดอร์ที่คุณเลือก
นอกเหนือจากแต่ละไฟล์แล้ว คุณยังสามารถกู้คืนโฟลเดอร์จาก Shadow Copy ได้อีกด้วย รายการเวอร์ชันสามารถดูได้ในคุณสมบัติ โฟลเดอร์บนแท็บ รุ่นก่อนหน้า.
คุณสามารถเปิดโฟลเดอร์ คัดลอกไปยังตำแหน่งอื่น หรือกู้คืนไปยังตำแหน่งเก่าได้ เมื่อทำการกู้คืน เช่นเดียวกับในกรณีของไฟล์จากไฟล์เก็บถาวร ระบบจะเตือนคุณหากมีไฟล์ชื่อเดียวกันในโฟลเดอร์
การกู้คืนไฟล์ที่ถูกลบจาก Shadow Copy
หากคุณต้องการกู้คืนสำเนาก่อนหน้าของไฟล์ที่มีอยู่ เพียงไปที่แท็บในคุณสมบัติไฟล์ รุ่นก่อนหน้า- จะทำอย่างไรถ้าไฟล์ถูกลบ? คุณมีสองวิธี:
- การกู้คืนโฟลเดอร์
- ค้นหาไฟล์
จาก Shadow Copy คุณสามารถกู้คืนโฟลเดอร์ที่มีไฟล์ดังกล่าวได้ ตามที่อธิบายไว้ข้างต้น หากคุณจำตำแหน่งที่แน่นอนของไฟล์ไม่ได้ แต่รู้ว่าไฟล์นั้นอยู่ที่ไหนในแผนผังโฟลเดอร์ คุณสามารถกู้คืนโฟลเดอร์หลักได้
อย่างไรก็ตาม ก่อนที่คุณจะคืนค่าโฟลเดอร์ คุณสามารถลองค้นหาไฟล์ที่ถูกลบโดยใช้ Windows Search ได้ ลองดูลำดับของการกระทำโดยใช้ตัวอย่าง ฉันลบไฟล์ support_center01.pngและตอนนี้ฉันต้องการมัน ฉันรู้ว่ามันอยู่ในโฟลเดอร์ไหน และฉันก็มองหาไฟล์ในนั้น (และหากฉันไม่ทราบตำแหน่งที่แน่นอน ฉันจะดูในโฟลเดอร์พาเรนต์ที่ใกล้ที่สุด)
Shadow Copy จะไม่ถูกจัดทำดัชนี และไฟล์ที่ถูกลบจะถูกแยกออกจากดัชนีทันที ดังนั้นการค้นหาจึงไม่พบ ดังนั้นคุณต้องค้นหาในตำแหน่งที่ไม่ได้จัดทำดัชนีโดยการคลิก คอมพิวเตอร์.การค้นหาไฟล์ที่ไม่ได้จัดทำดัชนีจะใช้เวลานานกว่า แต่ความอดทนของคุณจะได้รับรางวัล
ใน Shadow Copy ฉันไม่เพียงพบไฟล์ PNG ที่ฉันต้องการเท่านั้น แต่ยังรวมถึงไฟล์ BMP ที่ถูกลบไปนานซึ่งมีชื่อเดียวกันซึ่งฉันลืมไปแล้วด้วย
เหตุใด Shadow Copy จึงอาจหายไป
หลังจากอ่านเกี่ยวกับไฟล์เวอร์ชันก่อนหน้าแล้ว คุณอาจต้องการตรวจสอบว่าไฟล์เหล่านั้นถูกสร้างขึ้นในระบบของคุณหรือไม่ หากคุณไม่พบเวอร์ชันก่อนหน้า อาจหมายความว่า:
- การป้องกันระบบถูกปิดใช้งานเช่น ไม่มีจุดคืนค่าที่เก็บไฟล์ระบบเวอร์ชันก่อนหน้า
- พื้นที่ดิสก์น้อยได้รับการจัดสรรเพื่อปกป้องระบบ ดังนั้นจึงมีพื้นที่ไม่เพียงพอสำหรับ Shadow Copy ของไฟล์ผู้ใช้
- เนื้อหาของไฟล์หรือโฟลเดอร์ไม่เปลี่ยนแปลง - ในกรณีนี้ จะไม่สร้างสำเนาเงา
เพื่อสรุปเรื่องราวเกี่ยวกับการกู้คืนไฟล์ ฉันต้องการเน้นย้ำว่าเทคโนโลยี Windows นั้นเชื่อมโยงถึงกัน คุณจะมีโอกาสที่ดีที่สุดในการกู้คืนไฟล์ของคุณหากคุณใช้ Windows Backup ร่วมกับการป้องกันระบบ คุณสามารถเพิ่มโอกาสเหล่านี้ได้โดยการสร้างอิมเมจระบบสำรอง ซึ่งจะกล่าวถึงการกู้คืนด้านล่าง
การกู้คืนระบบจากอิมเมจที่สร้างไว้ก่อนหน้านี้
ระหว่างการติดตั้ง Windows 7 พาร์ติชันบริการจะถูกสร้างขึ้นโดยอัตโนมัติบนฮาร์ดไดรฟ์ของคุณที่มี Windows RE (Recovery Environment) การใช้ส่วนนี้ทำให้คุณสามารถ:
- บูตเข้าสู่สภาพแวดล้อมการกู้คืนจากฮาร์ดไดรฟ์
- สร้างดิสก์ซ่อมแซมระบบและบูตจากมัน
ด้วยการบูตเข้าสู่สภาพแวดล้อมการกู้คืน คุณสามารถกู้คืนระบบของคุณจากอิมเมจที่สร้างไว้ล่วงหน้าได้
ความสนใจ!สำหรับคำอธิบายโดยละเอียดเกี่ยวกับการสร้างดิสก์ซ่อมแซมระบบ สภาพแวดล้อมการกู้คืน และตัวเลือกสำหรับการบูต โปรดดูบทความการใช้ Windows RE Recovery Environment ใน Windows 7 ด้านล่างนี้เราจะพูดถึงเฉพาะการบูตเข้าสู่ Windows RE จากฮาร์ดไดรฟ์เท่านั้น
การบูตสู่สภาพแวดล้อมการกู้คืนจากฮาร์ดไดรฟ์
เพื่อเข้าสู่เมนู ตัวเลือกการดาวน์โหลดเพิ่มเติม, กด F8หลังจากเปิดคอมพิวเตอร์ แต่ก่อนที่จะโหลดระบบปฏิบัติการ
เลือกรายการเมนูแรก - การแก้ไขปัญหาคอมพิวเตอร์ของคุณและกด Enter Windows Recovery Environment จะเปิดตัว โดยที่สิ่งแรกที่คุณจะถูกขอให้ทำคือเลือกรูปแบบแป้นพิมพ์ของคุณ
เลือกภาษาที่ใช้ตั้งรหัสผ่านบัญชีผู้ดูแลระบบของคุณ เนื่องจากคุณจะได้รับแจ้งให้ป้อนรหัสผ่านในขั้นตอนถัดไป
หลังจากป้อนรหัสผ่านแล้ว คุณจะเห็นเมนูพร้อมตัวเลือกการกู้คืน หนึ่งในนั้นคือ การกู้คืนอิมเมจระบบ.
การคืนค่าอิมเมจระบบจาก Windows RE
Windows RE มีเครื่องมือการกู้คืนระบบที่หลากหลาย
คุณยังสามารถเลือกอิมเมจการกู้คืนอื่นได้อีกด้วย หลังจากเลือกรูปภาพแล้ว ให้คลิกปุ่ม ต่อไปเพื่อเริ่มกระบวนการกู้คืน
คุณสามารถฟอร์แมตดิสก์และสร้างพาร์ติชั่นได้ และคุณมีตัวเลือกในการแยกดิสก์ออกจากการดำเนินการฟอร์แมต (ดิสก์ที่มีอิมเมจเก็บถาวรจะถูกแยกออกโดยอัตโนมัติ) นอกจากนี้คุณยังสามารถคืนค่าอิมเมจไปยังพาร์ติชันระบบที่มีอยู่ได้อีกด้วย ด้านหลังปุ่ม นอกจากนี้มีอีกสองตัวเลือกที่ซ่อนอยู่
เมื่อคุณตัดสินใจเกี่ยวกับตัวเลือกการกู้คืนแล้ว ให้คลิก ต่อไปจากนั้นในหน้าต่างสุดท้ายของตัวช่วยสร้าง ให้คลิกปุ่ม พร้อม- Windows 7 จะเตือนคุณว่าข้อมูลทั้งหมดจะถูกลบออกจากพาร์ติชันและเริ่มกระบวนการกู้คืน
หากคุณไม่มีแผ่นดิสก์การติดตั้ง Windows 7 อย่าลืมสร้างแผ่นดิสก์การซ่อมแซมระบบ ดิสก์นี้จะช่วยให้คุณสามารถกู้คืนอิมเมจการสำรองข้อมูลระบบได้แม้ว่าพาร์ติชันบริการ Windows RE บนฮาร์ดไดรฟ์ของคุณจะเสียหายก็ตาม
หากคุณลบไฟล์หรือโฟลเดอร์ที่อยู่นอกถังรีไซเคิลโดยไม่ได้ตั้งใจ อย่าเพิ่งตกใจ โปรแกรมกู้คืนข้อมูลยังคงอยู่ ดังนั้นให้ลองใช้เครื่องมือระบบก่อน ใน Windows คุณสามารถกู้คืนไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้าได้ แม้ว่า GUI จะไม่มีตัวเลือกนี้ก็ตาม
ใน Windows 8 มีแท็บน้อยกว่าหนึ่งแท็บในคุณสมบัติของไดรฟ์ โฟลเดอร์ และไฟล์ โปรดทราบว่าเวอร์ชันก่อนหน้านี้ได้หายไปแล้ว
สิ่งนี้สังเกตได้เฉพาะในระบบปฏิบัติการไคลเอนต์เท่านั้น เช่น ใน Windows Server 2012 แท็บจะยังคงอยู่ ใน Windows 10 แท็บกลับมาแล้ว แต่... คุณต้องอ่านบทความ :)
บทความได้รับการอัปเดตในบริบทของ Windows 10
วันนี้ในรายการ
เวอร์ชันก่อนหน้าบน Windows 10
บทความนี้เขียนขึ้นในสมัยของ Windows 8 และใน Windows 10 แท็บ "เวอร์ชันก่อนหน้า" จะกลับไปที่คุณสมบัติของโฟลเดอร์ อย่างไรก็ตาม เนื้อหานี้เกี่ยวข้องกับ Windows 10 เนื่องจากสาธิตวิธีการกู้คืนไฟล์โดยตรงจาก Shadow Copy
ใน Windows 10 แท็บบอกว่าเวอร์ชันก่อนหน้านั้นสร้างขึ้นจากประวัติไฟล์และสำเนาเงา ขั้นแรก คุณต้องพิจารณาว่าใน Windows 10 การป้องกันระบบจะถูกปิดใช้งานตามค่าเริ่มต้น ดังนั้นด้วยการตั้งค่ามาตรฐาน เวอร์ชันก่อนหน้าจะพร้อมใช้งานจากประวัติไฟล์เท่านั้น หากเปิดใช้งานอยู่ แน่นอน
นอกจากนี้ การทดลองของฉันบน Windows 10 เวอร์ชัน 1511 (และใหม่กว่า 1709) แสดงให้เห็นว่าแท็บจะแสดงเฉพาะเวอร์ชันจากประวัติไฟล์ แม้ว่าจะเปิดใช้งานการป้องกันระบบก็ตาม!
ในภาพนี้:
- คุณสมบัติของโฟลเดอร์ภาพหน้าจอในระบบปฏิบัติการ เวอร์ชันล่าสุดลงวันที่ 27 กุมภาพันธ์ นี่อาจเป็นวันที่ของการคัดลอกล่าสุดไปยังประวัติไฟล์ ซึ่งใช้ไม่ได้สำหรับฉันในขณะนี้ (ไดรฟ์ถูกตัดการเชื่อมต่อทางกายภาพ)
- Shadow Copy ล่าสุดลงวันที่ 11 พฤษภาคม (ปรากฏขึ้นเมื่อสร้างจุดคืนค่าก่อนติดตั้งการอัปเดต WU) ฉันสร้างลิงก์สัญลักษณ์ไปยังขั้นตอนที่ 3
- เนื้อหาของสำเนาเงา จะเห็นได้ว่ามีไฟล์ที่สร้างขึ้นไม่นานก่อนที่ Shadow Copy จะปรากฏในวันที่ 11 พฤษภาคม อย่างไรก็ตาม ไม่มีอยู่ในวรรค 1
ดังนั้นคุณจึงมีโอกาสที่ดีที่สุดในการกู้คืนเวอร์ชันก่อนหน้าหากเปิดใช้งานประวัติไฟล์ จากนั้นเวอร์ชันต่างๆ จะพร้อมใช้งานบนแท็บในคุณสมบัติโฟลเดอร์หรือในอินเทอร์เฟซประวัติไฟล์ มิฉะนั้นจะต้องเปิดใช้งานการป้องกันระบบ และหากจำเป็น คุณจะต้องเข้าถึง Shadow Copy โดยใช้วิธีการที่อธิบายต่อไปในบทความ
เวอร์ชันก่อนหน้าทำงานอย่างไร และเหตุใดแท็บจึงถูกลบใน Windows 8
รูปภาพในคุณสมบัติของไฟล์และโฟลเดอร์นี้เป็นเพียงผลจากการที่การตั้งค่าการป้องกันระบบ Windows 8 ไม่มีตัวเลือกการกู้คืนไฟล์อีกต่อไป
ฉันจะบอกทันทีว่าการไม่มีจุดเริ่มต้นในส่วนต่อประสานกราฟิกไม่ได้หมายความว่าไม่มีเทคโนโลยีในระบบ ไฟล์เวอร์ชันก่อนหน้ายังคงมีอยู่! ดังนั้นทุกสิ่งที่กล่าวด้านล่างนี้ใช้ได้กับ Windows 8 โดยสมบูรณ์ และคำอธิบายของเทคโนโลยียังใช้กับ Windows 7 ด้วย
เหตุใดตัวเลือกการป้องกันไฟล์และแท็บเวอร์ชันก่อนหน้าจึงถูกลบออก ฉันไม่มีคำตอบที่แน่ชัด แต่ฉันมีการคาดเดาที่มีการศึกษาซึ่งฉันจะแบ่งปันกับคุณพร้อมทั้งอธิบายวิธีการทำงานของเวอร์ชันก่อนหน้าด้วย
ในหลายระบบ แท็บนี้จะว่างเปล่าเสมอ
สิ่งนี้ทำให้ผู้คนหลายพันคนสับสนในฟอรัมชุมชนและฝ่ายสนับสนุนของ Microsoft ด้วยคำถามอันร้อนแรง แต่คุณเดาแล้วว่าปัญหาของพวกเขาคืออะไรใช่ไหม คนเหล่านี้ปิดการใช้งานการป้องกันระบบโดยสิ้นเชิง!
ผู้คนไม่เข้าใจหลักการจัดเก็บและแสดงเวอร์ชันก่อนหน้า
เหตุใดบางโฟลเดอร์จึงมีหลายเวอร์ชันและไม่มีสำหรับโฟลเดอร์อื่น ๆ ความจริงก็คือไฟล์รุ่นต่างๆ ในโฟลเดอร์เหล่านี้สามารถสร้างได้ไม่เร็วกว่าจุดกู้คืนที่เก่าที่สุดเท่านั้น
เห็นด้วยเมื่อดูที่แท็บไม่ชัดเจนว่าการบันทึกเวอร์ชันของเอกสารส่วนตัวและไฟล์มีเดียจะเชื่อมโยงกับการสร้างจุดกู้คืน (แม้ว่าจะอธิบายไว้ในวิธีใช้ Windows แต่ก็ไม่มีข้อบกพร่องก็ตาม)
เป็นเรื่องปกติที่จะคิดว่าจุดต่างๆ เป็นวิธีในการย้อนกลับพารามิเตอร์ระบบ โดยเฉพาะอย่างยิ่งเมื่อไฟล์ส่วนบุคคลไม่ได้รับการกู้คืน (ยกเว้นไฟล์ประเภทเหล่านี้)
ในขณะเดียวกัน จุดการกู้คืนและไฟล์เวอร์ชันก่อนหน้า (ไม่เกี่ยวข้องกับประวัติไฟล์) จะถูกจัดเก็บไว้ในที่เดียว - Shadow Copy ของไดรฟ์ข้อมูล
การคืนค่าระบบเพียงแค่ถ่ายภาพโวลุ่มในเวลาที่เหมาะสมและจัดเก็บไว้ใน Shadow Copy เป็นพื้นที่ที่จัดสรรสำหรับ Shadow Copy ที่คุณควบคุมในการตั้งค่าการป้องกันระบบ
ตอนนี้เป็นที่ชัดเจนแล้วว่าเหตุใดจำนวนเวอร์ชันของไฟล์และโฟลเดอร์จึงอาจแตกต่างกันไป สถานะของไฟล์จะถูกบันทึก ณ เวลาที่สร้างจุดกู้คืน หากมีการเปลี่ยนแปลงระหว่างจุดต่างๆ เวอร์ชันจะถูกบันทึกใน Shadow Copy หากไฟล์ยังคงไม่เปลี่ยนแปลงในช่วงเวลาที่จุดคืนค่าครอบคลุม ไฟล์นั้นจะไม่มีเวอร์ชันก่อนหน้าเลย
Windows 8 แนะนำประวัติไฟล์
เมื่อใช้เทคโนโลยีแล้ว ก็จะเกิดประโยชน์ตามมา ใน Windows 7 สิ่งนี้ไม่ชัดเจนสำหรับคนส่วนใหญ่ดังนั้นใน Windows 8 พวกเขาจึงแนะนำระบบสำรองข้อมูลภาพเพิ่มเติม - ประวัติไฟล์
ไม่ต้องอาศัย Shadow Copy และคุณสามารถควบคุมจำนวนเวอร์ชันของไฟล์ได้โดยระบุความถี่ในการสำรองข้อมูล ทุกอย่างขึ้นอยู่กับความต้องการของคุณและพื้นที่บนดิสก์เป้าหมาย
แท็บการเข้าถึงเพื่อ "ปิดบัง" เวอร์ชันก่อนหน้าใน Windows 8 ถูกลบออกอย่างง่ายดาย พร้อมด้วยตัวเลือกที่มาพร้อมกับการตั้งค่าการป้องกันระบบ สำหรับผู้เชี่ยวชาญด้านไอที พวกเขาควรทำความคุ้นเคยกับแนวคิดของ Shadow Copy เป็นอย่างดี เพราะระบบปฏิบัติการเซิร์ฟเวอร์จะมีแท็บชื่อเดียวกันในคุณสมบัติโวลุ่มเพื่อจัดการ ดังนั้นใน Windows Server 2012 แท็บ "เวอร์ชันก่อนหน้า" จึงอยู่ในตำแหน่งปกติ
ใน Windows 8+ จุดคืนค่าจะถูกสร้างขึ้นโดยใช้อัลกอริธึมพิเศษและไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้าของคุณจะถูกบันทึกด้วย ต่อไปฉันจะบอกวิธีเปิดมัน
วิธีเปิดไฟล์และโฟลเดอร์เวอร์ชันก่อนหน้าจาก Shadow Copy
ด้านล่างนี้เป็นสองวิธีที่จะใช้งานได้หากคุณเปิดใช้งานการป้องกันระบบ อันแรกเหมาะสำหรับ Windows ที่รองรับทั้งหมด และจะมีประโยชน์หากคุณไม่ได้เปิดใช้งานประวัติไฟล์ วิธีที่สองเหมาะสมเฉพาะใน Windows 8/8.1 โดยคำนึงถึงหมายเหตุเกี่ยวกับ Windows 10 ในตอนต้นของบทความ
วิธีที่ 1 - ลิงก์สัญลักษณ์ไปยังสำเนาเงา (Windows 7 และใหม่กว่า)
ผู้อ่านบล็อกทั่วไปได้เห็นเคล็ดลับนี้ในบทความเกี่ยวกับฟังก์ชั่นการอัปเดตพีซีโดยไม่ต้องลบไฟล์ (รีเฟรชพีซีของคุณ) นอกจากนี้ยังใช้ Shadow Copy เพื่อบันทึกดิสก์ในระดับกลางเมื่อคุณสร้างอิมเมจการย้อนกลับ
จากนั้น ฉันจำเป็นต้องมีการมุ่งเน้นนี้เพื่อทำความเข้าใจเทคโนโลยี แต่ตอนนี้คุณอาจต้องการสิ่งนี้เพื่อแก้ไขปัญหาที่เฉพาะเจาะจงมาก ในพรอมต์คำสั่งที่ทำงานในฐานะผู้ดูแลระบบ ให้รัน:
เงารายการ Vssadmin
คุณจะเห็นรายการ Shadow Copy ในทุกเล่ม แต่ละรายการจะถูกระบุด้วยอักษรระบุไดรฟ์ ดังนั้นคุณจึงสามารถนำทางได้ง่าย นอกจากนี้ Shadow Copy แต่ละอันจะสอดคล้องกับวันที่ของจุดกู้คืนจุดใดจุดหนึ่ง (เรียกใช้ในคอนโซลเพื่อแสดงรายการเหล่านั้น รัสตรุย).
เลือกวันที่ที่ต้องการและคัดลอก ID วอลุ่ม Shadow Copy ตอนนี้ใช้ในคำสั่งที่สอง (อย่าลืมเพิ่มแบ็กสแลชที่ส่วนท้าย):
Mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
คุณมีลิงก์สัญลักษณ์ในรูทของไดรฟ์ระบบอยู่แล้ว เงานำไปสู่เงาคัดลอก! เมื่อไปตามลิงก์นี้ คุณจะเห็นโครงสร้างไฟล์และโฟลเดอร์ที่คุ้นเคย ซึ่งเป็นเวอร์ชันก่อนหน้า
วิธีที่ 2 - เข้าสู่ระบบไดรฟ์ที่แชร์ผ่านเครือข่าย (Windows 8 และ 8.1)
เพิ่มเมื่อ 15/01/2013 ในความคิดเห็น ผู้อ่าน Alexey แบ่งปันวิธีที่ง่ายกว่าในการเข้าถึง Shadow Copy เมื่อเปรียบเทียบกับที่อธิบายไว้ในบทความในตอนแรก ในตอนแรกวิธีการนี้ใช้งานได้ แต่ต่อมา Microsoft ก็ปิดช่องโหว่ด้วยการอัปเดตบางอย่าง อย่างไรก็ตาม ในที่สุดผู้อ่านของ Nick ก็แนะนำวิธีแก้ปัญหา
ขั้นแรกคุณต้องทำให้ดิสก์แชร์ จากนั้นจึงเข้าถึงดิสก์นั้น "ผ่านเครือข่าย" ในหน้าต่าง "พีซีเครื่องนี้" ให้เปิด "เครือข่าย" และเข้าสู่ระบบพีซีของคุณ หรือใช้บัญชีผู้ดูแลระบบ วางเส้นทางเครือข่ายลงในแถบที่อยู่ของ Explorer หรือในหน้าต่าง "เรียกใช้":
\\%ชื่อคอมพิวเตอร์%\C$
โดยที่ C คือตัวอักษรของไดรฟ์ที่ต้องการ ในโฟลเดอร์เครือข่ายจะมีแท็บ "เวอร์ชันก่อนหน้า":
เนื่องจากฉันใช้วิธีดึงข้อมูลจาก Shadow Copy หลายครั้ง ฉันเสียใจเล็กน้อยสำหรับการสูญเสียใน GUI ท้ายที่สุดแล้วแท็บ "เวอร์ชันก่อนหน้า" นั้นสะดวกเพราะช่วยให้คุณเข้าถึงไฟล์ที่จำเป็นได้ทันที
อย่างไรก็ตาม ฉันไม่ได้ใช้โอกาสนี้บ่อยนักที่การป้อนคำสั่งสองคำสั่งลงในคอนโซลทำให้ฉันไม่สะดวกอย่างยิ่ง ท้ายที่สุดสิ่งสำคัญคือการมีไฟล์เวอร์ชันก่อนหน้าอยู่และฉันสามารถเข้าถึงได้! ตอนนี้คุณก็ทำได้เช่นกัน ;)
คุณเคยมีโอกาสกู้คืนไฟล์เวอร์ชันก่อนหน้าจาก Shadow Copy หรือไม่?บอกเราในความคิดเห็นว่าเหตุใดจึงมีความจำเป็นและคุณสามารถกู้คืนทุกอย่างได้หรือไม่
ฉันยังคงคิดว่าผู้อ่านส่วนใหญ่ไม่เคยใช้คุณสมบัตินี้กับระบบในบ้าน ดังนั้นการหายไปจาก GUI จะไม่ทำให้พวกเขาเสียใจมากเกินไป ในโพสต์ถัดไป เราจะพูดถึงสาเหตุที่ฟีเจอร์ต่างๆ ของ Windows หายไปหรืออยู่ระหว่างการเปลี่ยนแปลง และสิ่งที่คุณสามารถทำได้เพื่อช่วยเปลี่ยนแปลงสถานการณ์
Volume Shadow Copy Service (VSS) จัดเก็บจุดการกู้คืนและรองรับการสำรองและกู้คืนไฟล์โดยใช้กลไกสแน็ปช็อตที่เรียกว่า Shadow Copy VSS สร้างสำเนาคงที่ของไฟล์ที่เปิดอยู่และแอปพลิเคชันซึ่งมีความผันผวนเกินกว่าจะสำรองข้อมูลได้
ฟังดูน่าเชื่อ แต่ VSS ใช้พื้นที่ดิสก์มาก ในการเริ่มต้น ให้ใช้คำสั่ง "vssadmin" เพื่อดูว่า Shadow Copy ของวอลุ่มปัจจุบันใช้พื้นที่เท่าใดกับคำสั่ง "vssadmin list shadowstorage" (สำหรับข้อมูลเพิ่มเติม คลิกปุ่ม "Start" พิมพ์ cmd ในแถบค้นหา จากนั้นพิมพ์ vssadmin /? เพื่อขอความช่วยเหลือ)
ในภาพหน้าจอด้านล่าง จุดการกู้คืนสำหรับไดรฟ์ C: และ D ถูกเปิดใช้งาน นอกจากนี้ยังมี Shadow Copy บนดิสก์เดียวกันนี้ด้วย มาดูกันว่าใช้พื้นที่ดิสก์ไปเท่าใดกับ Shadow Copy ของไดรฟ์เหล่านี้: 22.079 GB บนไดรฟ์ D: (ปริมาณรวม: 149 GB พื้นที่ว่างที่ถูกครอบครองโดย Shadow Copy = 15.5%) และ 64.448 GB บนไดรฟ์ C: (ปริมาณรวม: 465 GB ; ปริมาณครอบครองโดย Shadow Copy = 14.9%)
จนถึงจุดหนึ่ง เราพบพื้นที่ว่างเพียง 230 GB บนไดรฟ์ C: 465 GB แม้ว่าเราจะรู้แน่นอนว่าไดรฟ์นั้นมีไฟล์เพียง 120 GB เท่านั้น การค้นหา 115 GB ที่หายไปนำเราไปสู่บริการ Volume Shadow Copy เราใช้คำสั่ง "vssadmin list shadows" อีกครั้ง (เราไม่ได้แสดงผลลัพธ์ที่นี่เพราะมันยาวมาก: โดยจะแสดงรายการ Shadow Copy ทั้งหมดบนดิสก์) และพบว่า Shadow Copy ตัวใดตัวหนึ่งใช้พื้นที่ถึง 85 GB! เนื่องจากเมื่อเร็วๆ นี้เราได้คัดลอกไฟล์เพลงจำนวนมากจากไดรฟ์ USB เก่าขนาด 200GB ไปยังไดรฟ์ SATA ใหม่ที่เร็วกว่าของเรา ดูเหมือนว่า VSS จะสร้าง Shadow Copy ของไฟล์เหล่านั้นในเวลาเดียวกันกับที่คัดลอกไปยังโฟลเดอร์ที่ผู้ใช้สามารถเข้าถึงได้
จะกำจัด Shadow Copy ที่ไม่จำเป็นนี้ได้อย่างไร? ตามค่าเริ่มต้น Vista จะจัดสรรพื้นที่ดิสก์ 15% ให้กับ Shadow Copy แต่ระบบปฏิบัติการไม่ได้จำกัดขนาดรวมของ Shadow Copy อย่างเคร่งครัด หาก Shadow Copy ต้องการพื้นที่เพิ่มเติม Vista ยินดีที่จะจัดหาให้ การใช้ยูทิลิตีบรรทัดคำสั่ง vssadmin คุณสามารถตั้งค่าขีดจำกัดพื้นที่ดิสก์ที่ชัดเจนสำหรับสำเนาเงาได้ ต่อไปนี้เป็นวิธีดำเนินการ:
Vssadmin ปรับขนาด shadowstorage /For=T: /On=T: /MaxSize=Num
แทนที่จะใช้ตัวอักษร "T" ให้แทนที่ชื่อดิสก์ของคุณและแทนที่ "Num" ด้วยตัวเลขเท่ากับ 15% ของความจุของดิสก์นี้ ในกรณีของไดรฟ์ C: คำสั่งนี้จะมีลักษณะดังนี้:
Vssadmin ปรับขนาด shadowstorage /For=C: /On=C: /Maxsize=69GB
ก่อนที่จะใช้เคล็ดลับนี้ ให้สำรองข้อมูลระบบของคุณและสร้างจุดคืนค่าทันทีหลังจากรีบูตระบบ หลังจากรันคำสั่งข้างต้น Vista จะลบจุดคืนค่าที่เก่าที่สุดก่อนโดยอัตโนมัติจนกว่าจะถึงขีดจำกัดที่คุณตั้งไว้
มีหลายวิธีในการกู้คืนไฟล์ที่เข้ารหัสโดยการโจมตีของแรนซัมแวร์โดยไม่ต้องจ่ายค่าไถ่ หากเราโชคดี อาจมีเครื่องมือฟรีสำหรับกู้คืนไฟล์เหล่านั้น แต่ตัวเลือกที่สมจริงกว่านั้นคือการคืนค่าไฟล์ของคุณจากข้อมูลสำรอง อย่างไรก็ตาม ไม่ใช่ทุกคนที่มีสำเนาสำรองของไฟล์ของตน แม้ว่า Windows จะนำเสนอฟีเจอร์ที่มีประโยชน์มากที่เรียกว่า Shadow Copy ซึ่งโดยสรุปก็คือเป็นการสำรองไฟล์ของคุณ อาชญากรไซเบอร์ทราบเรื่องนี้มาเป็นเวลานาน ดังนั้น ไม่กี่เดือนหลังจากการโจมตีของแรนซัมแวร์ได้รับความนิยม สิ่งแรกที่พวกเขาทำเมื่อแพร่ระบาดในคอมพิวเตอร์ของคุณคือการลบ Shadow Copy ของไฟล์ของคุณก่อนที่จะเริ่มเข้ารหัสข้อมูลของคุณ
มีเทคโนโลยีจำนวนหนึ่งที่สามารถใช้เพื่อหยุดการโจมตีของแรนซัมแวร์ได้: บางอย่างแทบไม่มีประโยชน์เลย เช่น ลายเซ็นต์หรือการวิเคราะห์พฤติกรรม (นี่คือสิ่งแรกที่ผู้เขียนมัลแวร์ตรวจสอบก่อนที่จะปล่อยมัน) บางอย่างก็มีประสิทธิภาพมากกว่า แต่ถึงแม้จะผสมผสานกันก็ตาม เทคนิคทั้งหมดนี้ไม่ได้รับประกันว่าคุณจะได้รับการปกป้องจากการโจมตีดังกล่าวทั้งหมด
เมื่อกว่า 2 ปีที่แล้ว ห้องปฏิบัติการป้องกันไวรัสของ PandaLabs ใช้วิธีการที่เรียบง่ายแต่ค่อนข้างมีประสิทธิภาพ: หากกระบวนการบางอย่างพยายามลบ Shadow Copy เป็นไปได้มากว่า (แต่ไม่เสมอไป) เรากำลังเผชิญกับโปรแกรมที่เป็นอันตราย และส่วนใหญ่ มีแนวโน้มว่าจะมีผู้เข้ารหัส ปัจจุบันตระกูลแรนซัมแวร์ส่วนใหญ่จะลบ Shadow Copy ออก, เพราะ ถ้าคุณไม่ทำ ผู้คนจะไม่จ่ายค่าไถ่เมื่อพวกเขาสามารถกู้คืนไฟล์ได้ฟรี มาดูกันว่าวิธีนี้สามารถหยุดยั้งการติดเชื้อในห้องปฏิบัติการของเราได้กี่ราย มีเหตุผลที่จะสรุปได้ว่าตัวเลขนี้ควรเพิ่มขึ้นแบบทวีคูณ เนื่องจาก จำนวนการโจมตีแรนซัมแวร์โดยใช้เทคนิคนี้ก็เพิ่มขึ้นอย่างรวดเร็วเช่นกัน ตัวอย่างเช่น นี่คือจำนวนการโจมตีที่เราบล็อกได้ในช่วง 12 เดือนที่ผ่านมาโดยใช้แนวทางของเรา:
แต่ในแผนภาพเราเห็นสิ่งที่ตรงกันข้ามกับที่เราคาดไว้ทุกประการ สิ่งนี้เป็นไปได้อย่างไร? ในความเป็นจริง มีคำอธิบายง่ายๆ สำหรับ "ปรากฏการณ์" นี้: เราใช้แนวทางนี้เป็น "ทางเลือกสุดท้าย" เมื่อไม่มีเทคนิคความปลอดภัยอื่นใดที่สามารถตรวจจับสิ่งที่น่าสงสัยได้ ดังนั้นกฎนี้จึงถูกเรียกใช้ ซึ่งจะบล็อกการโจมตีของแรนซัมแวร์ นอกจากนี้เรายังใช้วิธีการนี้เพื่อวัตถุประสงค์ภายใน ซึ่งส่งผลให้เราสามารถวิเคราะห์รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีที่ถูกบล็อกที่ "บรรทัดสุดท้าย" จากนั้นจึงปรับปรุงระดับความปลอดภัยก่อนหน้านี้ทั้งหมด นอกจากนี้เรายังใช้แนวทางนี้เพื่อประเมินว่าเราหยุดแรนซัมแวร์ได้ดีหรือไม่ดี กล่าวอีกนัยหนึ่ง ยิ่งค่าต่ำ เทคโนโลยีหลักของเราก็จะยิ่งทำงานได้ดีขึ้นเท่านั้น อย่างที่คุณเห็น ประสิทธิภาพการทำงานของเราเพิ่มขึ้น
บทความต้นฉบับ