Монтирование теневого копирования тома Windows в Linux с использованием libvshadow

855
Jesse

В последнее время я сталкивался с несколькими случаями, когда у меня есть доступ к необработанным файлам, созданным теневой службой томов в Windows, где моя цель - восстановить файлы из теневой копии, к которым у нас больше нет доступа другими способами.

Моя текущая проблема связана с Locky-вариантом семейства Ransomware, где любые теневые копии были уничтожены vssadminкомандой на зараженном компьютере с Windows 7. Мне удалось восстановить информацию о томе системы через testdiskотдельную установку Ubuntu и поместить восстановленные файлы обратно в System Volume Informationпапку. В предыдущем случае мне не приходилось восстанавливать информацию о томе системы, и у нее не было заражения вирусом-вымогателем, но я все еще не мог использовать его libvshadowдля просмотра хранилища теневых копий.

Насколько я понимаю, VSS хранит свои теневые копии C:\System Volume Information\. Каждая «копия» хранится в виде отдельного файла с GUID-подобным именем ( ). В моем случае у меня есть несколько таких файлов, каждый размером от 600 МБ до 1,1 ГБ.

Диск подключается через док-станцию ​​USB к стандартной настольной установке Ubuntu 16.04, а раздел Windows монтируется /media/user/Windows 7 OS/через via /dev/sdc2. Когда я бегу vshadowinfo /dev/sdc2, мне говорят, что там 0 магазинов.

Итак, вопрос в том, как мне получить доступ к этим файлам, когда кажется, что все в нужном месте, но как vshadowinfoв Linux, так и в ShadowExplorer в Windows говорят, что нет доступных магазинов?

1

0 ответов на вопрос

Похожие вопросы