一、什么是卷影拷貝?

從Windows XP SP2和Windows Server 2013開始，微軟就向Windows操作系統(tǒng)中引入了一項名叫卷影拷貝的服務(wù)(Volume Shadow Copy Service-VSS)。這種服務(wù)允許Windows系統(tǒng)以自動或手動的方式對文件或磁盤卷宗的當前狀態(tài)進行備份(或快照)，需要注意的是，在這個過程中，即使文件處于打開狀態(tài)下該服務(wù)仍然可以直接進行文件備份。

當這些備份文件被創(chuàng)建之后，它們會被保存在一個特殊的容器中，即卷影拷貝(Volume Shadow Copy)。備份軟件、實用工具或Windows系統(tǒng)都可以使用這些卷影拷貝來恢復已被刪除或以某種形式修改后的文件。當我們使用卷影拷貝服務(wù)創(chuàng)建了一個備份文件時，它使用的是一種基于版本的方法備份的，即每次只備份文件中發(fā)生了變化的地方，而不是備份整個文件。因此，這種機制將允許我們查看到同一文件的不同版本，而不需要占用大量的磁盤空間。

你可以看到，如果有需要的話，這項技術(shù)可以幫助我們恢復被刪除或被修改的文件。但是除此之外，我還發(fā)現(xiàn)這項服務(wù)可以用來恢復舊的游戲存檔、已被勒索軟件加密的文件、或自己不小心刪除的文件。

[[208430]]

在這篇文章中，我將給大家介紹兩種使用卷影拷貝服務(wù)來恢復文件的方法。

***種方法利用的是Windows內(nèi)置的功能-以前的版本(Previous Versions);第二種方法使用了一款名叫Shadow Explorer的工具，這款工具可以幫助你直接查看卷影拷貝的文件或文件夾。

1. 如何使用Windows的內(nèi)置功能-以前的版本(Previous Versions)來恢復文件

Windows內(nèi)置有一種名叫以前的版本(PreviousVersions)的功能，這項功能可以幫助我們從卷影拷貝快照中恢復以前的文件。下面所介紹的方法只能從卷影拷貝中恢復單一文件，如果你想要恢復整個文件夾的話，請看下面的章節(jié)。

首先，進入包含需要恢復文件的文件夾：

右鍵點擊需要恢復的文件，選擇屬性：

在彈出的菜單中，點擊“屬性”(Properities)，然后點擊“以前的版本”(Previous Versions)標簽。接下來，你會看到卷影拷貝中存儲的該文件所有的之前版本。

接下來，你可以點擊“恢復”(覆蓋文件的當前版本)或“復制”(可選存儲地址)按鈕來恢復文件。如果你不確定的話，我建議你點擊“復制”按鈕將文件存儲到特定目錄中：

2. 如何恢復整個文件夾

實際上，恢復文件夾跟恢復單一文件的操作是差不多的，只不過在右鍵點擊并選擇“屬性”的這一步操作中，如果你想要恢復文件夾，你需要在文件夾中的空白地方點擊鼠標右鍵并選擇“屬性”。

剩下的操作就跟之前恢復單一文件時是一樣的了，即選擇需要恢復的文件夾版本，然后點擊“復制”按鈕即可。

3. 使用ShadowExplorer從卷影拷貝中恢復文件或文件夾

ShadowExplorer下載地址：【點我下載】

就我個人而言，我比較偏愛這種方法，因為操作起來比較直觀。下載好這個工具之后，打開它，你將會看到一個類似資源管理器的界面，其中包含有各個驅(qū)動器下的卷影拷貝以及相應(yīng)的修改日期和文件類型。你可以選擇驅(qū)動器和創(chuàng)建時間來快速尋找需要恢復的文件：

接下來，找到你需要恢復的文件或文件夾，右鍵點擊它，然后選擇“導出”(Export)：

點擊了“導出”之后，ShadowExplorer將會顯示一個對話框讓你選擇將文件恢復到哪里，選擇好之后點擊“確認”(OK)即可：

二、為什么惡意軟件會嘗試刪除卷影副本?

計算機勒索軟件在感染了Windows系統(tǒng)并加密了目標用戶的文件之后，通常都會嘗試刪除卷影副本。大家已經(jīng)看到了，使用卷影副本來恢復文件是多么的簡單，那么勒索軟件當然不想用戶這么輕松地就恢復了自己的文件!

當勒索軟件嘗試刪除卷影副本時，通常使用的是下面這行命令：

C:\Windows\Sysnative\vssadmin.exe"Delete Shadows /All /Quiet 

這條命令執(zhí)行之后，Windows將會顯示一條UAC對話框并詢問用戶是否要以管理員權(quán)限執(zhí)行這條命令。如果用戶允許執(zhí)行，那么vssadmin.exe將會刪除目標主機中所有驅(qū)動器的卷影副本。在某種情況下，勒索軟件還會使用PowerShell或WMIC命令來刪除SVC，并以此來防止用戶恢復那些已被勒索軟件加密了的文件。