shadow volume copy چیست؟
مایکروسافت از ویندوز xp سرویس پک ۲ و ویندوز سرور ۲۰۰۳ به بعد یک فناوری جدید به نام سرویس Shadow Volume Copy یا به اختصار VSS در سیستم عامل‌هایش گنجاند. این سرویس اجازه می‌دهد تا ویندوز از وضعیت جاری فایل‌ها و فولدر‌های یک پارتیشن یا درایو خاص، بکاپ‌های اتومات و دستی و یا اسنپ‌شات بگیرد. نکته‌ی قابل توجه این فرایند این است که حتا از فایل‌های باز هم می‌توان بکاپ گرفت. بنابراین می‌توان با استفاده از برنامه‌های پشتیبان‌گیری و خودِ ویندوز سابقه‌ی قابل اعتمادی از فایل‌های کامپیوتر را نگه‌داری کرد.
وقتی این بکاپ‌ها ساخته می شوند در محل مخصوصی به نام Shadow Volume Copy یا SVC ذخیره می‌شوند. سپس نرم‌افزارهای پشتیبان‌گیری و ویندوز از این SVC ها برای بازیابی فایل‌هایی که احتمالا پاک شده‌اند و یا به طریقی تغییر یافته‌اند استفاده می‌کنند. وقتی با VSS بکاپی گرفته می‌شود، فایل‌ها توسط روش ورژن، بکاپ‌گیری می‌شوند؛ یعنی به جای این از که کل یک فایل بکاپ گرفته شود، فقط از تغییرات آن بکاپ گرفته می‌شود. بنابراین از یک فایل ورژن‌های مختلفی داریم بدون این‌که حجم زیادی از دیسک بیهوده مصرف شود. قابل ذکر است که این سرویس به صورت پیش‌فرض در ویندوزفعال نیست. فعال کردن و تنظیمات آن در پست دیگری توضیح داده خواهد شد.
همان طور که دیدید این فناوری برای ریکاوری فایل‌های تغییریافته و پاک شده بسیار سودمند است. موقعیت‌هایی که می‌توان از این قابلیت استفاده کرد شامل ریکاوری یک بازی قدیمی ذخیره‌شده، ریکاوری فایل‌هایی که توسط باج‌افزارها رمزگذاری شده‌اند و ریکاوری فایل‌هایی که به طور تصادفی پاک شده‌اند، می‌باشد.
در این پست دو روشی که برای بازیابی فایل‌ها از SVC مورد استفاده قرار می‌گیرد را بیان می‌کنیم. روش اول مکانیزم خود ویندوز است که ورژنِ قبل یا Previous Versions نام دارد. و روش دوم استفاده از ابزار ShadowExplorer است که می‌توانید ورژن‌های مختلف فایل ها را ببینید و درصورت نیاز آن‌ها را بازیابی کنید.
بازیابی فایل‌ها و فولدرها با ابزار Previous Versions ویندوز
ویندوز دارای یک ویژگی به نامPrevious Versions است که به شما اجازه می‌دهد تا کپی‌های قبلی یک فایل بخصوص را از اسنپ‌شات‌های SVC بازیابی کنید.
برای بازیابی یک فایل تنها، فولدر آن فایل را باز کنید. روی فایل موردنظر راست‌کلیک کرده و مانند شکل زیر روی گزینه Properties کلیک کنید.
right-click-on-file
بعد از این که صفحه‌ی properties باز شد تب Previous Versions را انتخاب کنید. حالا در صفحه‌ای هستید که می‌توانید تمام ورژن‌های قبلی ذخیره شده در Shadow Copy را ببینید. در کنار هر ورژن تاریخ متناظر با زمان بکاپ‌گیری را مشاهده خواهید کرد.
previous-versions-for-file
برای بازیابی فایل می‌توانید روی دکمه Copy یا Restore کلیک کنید. دکمه Copy به شما اجازه می‌دهد تا فایل مورد نظر را در محل دیگری کپی کنید اما با کلیلک بر روی دکمه Restore ورژنی که انتخاب کردید در همان محل فایل اصلی و روی آن ذخیره خواهدشد. پیشنهاد می‌شود محل دیگری را برای این کار در نظر بگیرید و از دکمه‌ی Copy استفاده کنید تا مطمئن شوید همان چیزی را که به دنبالش بودید پیدا کردید.
اما برای بازیابی یک فولدر به بصورت زیر عمل می‌کنیم.
مراحل ریکاوری کل یک فولدر با ابزار Previous Versions تقریبا با ریکاوری فایل مشابه است.
فولدر مورد نظر خود را باز کنید و روی فضای خالی آن راست‌کلیک کرده و گزینه‌ی properties را بزنید. روی تب Previous Versions بروید و باقی مراحل مانند حالت قبل خواهد بود.
previous-version-folder
**ریکاوری فایل‌ها و فولدرها با استفاده از ShadowExplorer
**
ShadowExplorer ابزار دیگری است که می‌توانید با آن فایل‌ها و فولدرهای ذخیره‌شده در SVC را بازیابی کرد. رابط کاربری این نرم‌افزار بسیار ساده است و با چند مرحله ساده می‌توانید فایل‌ها و فولدرهای خود را بازیابی کنید. برای اجرای این نرم‌افزار، هم می‌توانید از نسخه‌ی قابل‌حمل آن و هم از نسخه قابل‌نصب آن استفاده کنید. برای دریافت آخرین نسخه ShadowExplorer به این آدرس مراجعه کنید.
بدون توضیح خاصی با توجه به عکس‌های زیر می‌توانید از این نرم‌افزار استفاده کنید.
shadow-explorer
shadow-explorer-export
se-browse
**چرا باج‌افزارها سعی می‌کنند Shadow Volume Copy ها را پاک کنند؟
**
تاکتیک مورد استفاده باج‌افزارها این است که زمانی که می‌خواهد اطلاعات کامپیوتر قربانی را رمزگذاری کنند، SVC ها را پاک می‌کنند. همان‌طور که در بالا مشاهده نمودید، چون ریکاوری فایل‌ها به سادگی از این طریق امکان‌پذیر است، باج افزارها سعی می‌کنند تا این امکان را از شما بگیرند. باج‌افزارها برای انجام این کار از دستور زیر استفاده می‌کنند:
C:\Windows\Sysnative\vssadmin.exe” Delete Shadows /All /Quiet
با اجرا شدن این دستور پیغامی روی صفحه نمایش داده می‌شود در مورد این که آیا تمایل دارید این دستور با دسترسی مدیرسیستم اجرا شود؟ اگر گزینه‌ی Yes را انتخاب کنید vssadmin.exe تمام Shadow Volume Copy های تمام دریاوهایتان را از روی کامپیوتر پاک می‌کند. در بعضی موارد هم باج‌افزار این دستور را در Powershell یا WMIC اجرا خواهد کرد. با پاک شدن SVC ها باج‌افزار به هدف خود می‌رسد و تمام قایل‌ها و اطلاعات شما را رمزگذاری می‌کند.

+ منبع