Shadow Volume Copies là gì?
Kể từ Windows XP Gói Dịch vụ 2 và Windows Server 20013, Microsoft đã tích hợp một công nghệ vào các hệ điều hành được gọi là Volume Shadow Copy Service hoặc VSS. Dịch vụ này cho phép Windows tự động hoặc thủ công sao lưu, hoặc chụp nhanh, về trạng thái hiện tại của các tập tin trên một khối lượng cụ thể (ký tự ổ đĩa). Phần quan trọng của quá trình này là các bản sao lưu có thể được thực hiện các tập tin ngay cả khi chúng được mở. Vì vậy, đây cung cấp một cơ chế sao lưu các chương trình và Windows có thể sử dụng để giữ lại một lịch sử đáng tin cậy của các tập tin của máy tính.
Khi các bản sao lưu được tạo ra chúng được lưu trữ trong một thùng chứa đặc biệt gọi là Shadow Volume Copy. Các Bản sao khối lượng Bóng tối này sau đó có thể được sử dụng bởi phần mềm sao lưu, tiện ích hoặc Windows để phục hồi các tệp đã bị xóa hoặc thay đổi theo cách nào đó. Khi một bản sao lưu được tạo bằng Volume Shadow Copy Service, các tập tin được sao lưu bằng cách sử dụng một phương pháp phiên bản để sao lưu các thay đổi trong một tập tin chứ không phải toàn bộ tập tin. Điều này cho phép nhiều phiên bản của cùng một tệp có sẵn mà không sử dụng một lượng lớn không gian đĩa.
Như bạn có thể thấy công nghệ này rất hữu ích vì nó cho phép chúng ta phục hồi các tập tin bị xóa hoặc thay đổi nếu cần. Tôi đã tìm thấy rất nhiều ứng dụng cho tính năng này, chẳng hạn như khôi phục lại trò chơi đã lưu cũ, khôi phục các tệp đã được mã hóa bằng ransomware hoặc khôi phục tệp mà tôi đã xóa do tai nạn.
Trong hướng dẫn này, tôi đã phác thảo hai phương pháp mà bạn có thể sử dụng để khôi phục các tệp từ bản sao khối lượng bóng tối. Phương pháp đầu tiên sử dụng tính năng Windows tích hợp được gọi là Các phiên bản trước. Phương pháp thứ hai là sử dụng công cụ Shadow Explorer, cho phép bạn duyệt và khôi phục lại các tập tin và thư mục từ các bản sao bóng khác nhau trên máy tính.
Làm thế nào để khôi phục tập tin bằng cách sử dụng Windows Previous Versions
Windows có một tính năng được gọi là Windows Previous Versions cho phép bạn khôi phục các bản sao của một file trước đó từ ảnh chụp nhanh của Shadow Volume Copy. Phương pháp được mô tả dưới đây chỉ để khôi phục các tệp riêng lẻ từ Shadow Volume Copies. Nếu bạn muốn khôi phục lại toàn bộ thư mục, vui lòng đọc phần này thay thế.
Để khôi phục các tệp riêng lẻ, hãy mở thư mục có chứa tệp bạn muốn khôi phục như được hiển thị bên dưới.
Bây giờ nhấp chuột phải vào tệp bạn muốn khôi phục và chọn properties như hình dưới đây
Trong trình đơn ngữ cảnh xuất hiện, nhấp vào tuỳ chọn Properties . Thao tác này sẽ mở các thuộc tính cho tệp. Khi màn hình properties mở ra, nhấp vào tab Windows Previous Versions. Bây giờ bạn sẽ ở màn hình hiển thị tất cả các phiên bản trước đã được lưu trong bản sao bóng. Lưu ý rằng mỗi phiên bản sẽ có ngày và giờ tương ứng mà nó được sao lưu.
Để khôi phục lại phiên bản trước của tệp bạn có thể nhấp vào nút Copy hoặc Restore . Nút copy sẽ khôi phục tệp tin đến vị trí bạn chỉ định, trong khi nút Restore sẽ ghi đè lên tệp hiện có trên ổ cứng của bạn với Windows Previous Versions. Tôi đề nghị bạn tạo một thư mục trên ổ cứng của bạn và sử dụng nút Copy để khôi phục Windows Previous Versions vào thư mục đó để chắc chắn rằng đó là tệp bạn muốn.
Để thực hiện việc này, hãy nhấp vào nút Copy và Windows sẽ nhắc bạn tìm thư mục để khôi phục tệp.
Duyệt tới thư mục hoặc tạo một thư mục mới mà bạn muốn khôi phục phiên bản trước đó. Khi bạn đã sẵn sàng, hãy nhấp vào nút Copy .
Windows sẽ khôi phục lại phiên bản trước của tệp từ Shadow Volume Copies và lưu nó vào thư mục đã chỉ định. Bây giờ bạn có thể đóng cửa sổ thuộc tính và truy cập tệp của bạn nếu cần.
Nếu bạn muốn tìm hiểu cách khôi phục toàn bộ thư mục, bạn có thể đọc phần tiếp theo.
Làm thế nào để Khôi phục các thư mục sử dụng Windows Previous Versions
Khôi phục toàn bộ thư mục sử dụng Windows Previous Versions đây hầu như giống như khôi phục một tệp tin. Tuy nhiên, các bước này hơi khác một chút vì vậy tôi cảm thấy phần dành riêng sẽ hữu ích.
Để khôi phục lại một thư mục, hãy mở thư mục có chứa tệp bạn muốn khôi phục như thể hiện dưới đây.
Bây giờ kích chuột phải vào không gian trống trong thư mục để mở trình đơn ngữ cảnh cho thư mục như hình dưới đây.
Trong trình đơn ngữ cảnh xuất hiện, nhấp vào tuỳ chọn Properties . Thao tác này sẽ mở các thuộc tính cho thư mục. Khi cửa sổ Properties mở ra, nhấp vào tab Previous Versions . Bây giờ bạn sẽ ở màn hình hiển thị tất cả các phiên bản trước của thư mục đã được lưu trong bản sao bóng tối. Lưu ý rằng mỗi phiên bản sẽ có ngày và giờ tương ứng mà nó được sao lưu.
Để khôi phục lại phiên bản trước của thư mục, bạn có thể nhấp vào nút Copy hoặc Restore . Nút Copy sẽ khôi phục lại thư mục này đến vị trí bạn chỉ định, trong khi nút Restore sẽ ghi đè lên thư mục hiện có trên ổ cứng của bạn với các phiên bản trước của tất cả các tệp tin chứa trong nó. Tôi đề nghị bạn tạo thư mục trên ổ cứng và sử dụng nút Copy để khôi phục phiên bản trước đó vào thư mục đó để bạn không nhầm lẫn ghi đè các tệp tin tốt.
Để thực hiện việc này, hãy nhấp vào nút Copy và Windows sẽ nhắc bạn tìm vị trí khôi phục thư mục.
Duyệt tới thư mục hoặc tạo một thư mục mới mà bạn muốn khôi phục phiên bản trước của thư mục. Khi bạn đã sẵn sàng, hãy nhấp vào nút Copy .
Windows sẽ khôi phục lại toàn bộ phiên bản trước của thư mục từ Shadow Volume Copies vào thư mục đã chỉ định. Bây giờ bạn có thể đóng tài sản Window và truy cập vào thư mục khôi phục của bạn để xem nếu nó có các tập tin bạn cần.
Sử dụng ShadowExplorer để Khôi phục File và Folder từ Shadow Volume Copies
Để khôi phục lại các tập tin và thư mục từ Shadow Volume Copies bạn cũng có thể sử dụng một chương trình gọi là ShadowExplorer . Cá nhân, tôi thích phương pháp này hơn phiên bản trước vì nó tôi cảm thấy nó là dễ dàng hơn để tìm và khôi phục lại các phiên bản của các tập tin bạn cần trong một giao diện dễ sử dụng. Khi tải xuống chương trình, bạn có thể sử dụng tải xuống cài đặt đầy đủ hoặc phiên bản di động vì cả hai đều thực hiện cùng chức năng.
ShadowExplorer có thể được tải về từ liên kết này: Shadow Explorer Download Link
Một khi bạn tải về và bắt đầu ShadowExplorer, bạn sẽ được hiển thị một màn hình liệt kê tất cả các ổ đĩa và những ngày mà một bản sao bóng được tạo ra. Chọn ổ đĩa (mũi tên màu xanh) bạn muốn khôi phục các tệp hoặc thư mục từ và ngày (mũi tên màu đỏ) mà bạn muốn khôi phục. Điều này được thể hiện trong hình dưới đây.
Sau đó điều hướng đến thư mục hoặc tệp bạn muốn khôi phục. Khi đã sẵn sàng, nhấp chuột phải vào thư mục hoặc tập tin và chọn Export như hình dưới đây.
Khi bạn nhấn vào Export, ShadowExplorer sẽ hiển thị một dấu nhắc yêu cầu bạn phải khôi phục lại các tệp ở đâu như được hiển thị bên dưới.
Điều hướng đến hoặc tạo một thư mục mới để phục hồi các tệp của bạn và sau đó nhấp vào nút OK . ShadowExplorer bây giờ sẽ khôi phục lại các tệp tin đến vị trí đó.
Tại sao ransomware cố gắng xóa Shadow Volume Copies
Một thủ thuật phổ biến do nhiễm độc ransomware máy tính là xóa các Bản sao khối lượng Bóng tối khi mã hóa máy tính của nạn nhân. Vì bây giờ bạn đã thấy dễ dàng khôi phục các tệp tin sử dụng Shadow Volume Copies, nên chương trình ransomware sẽ xóa chúng để nạn nhân không thể làm như vậy.
Khi một ransomware cố gắng xóa các bản sao khối lượng bóng tối nó thường sẽ sử dụng lệnh:
C:WindowsSysnativevssadmin.exe” Delete Shadows /All /Quiet
Khi lệnh này được thực hiện, Windows sẽ hiển thị dấu nhắc UAC hỏi nếu nạn nhân muốn lệnh thực hiện với các đặc quyền adminsitrator. Nếu người dùng cho phép lệnh tiếp tục, vssadmin.exe sẽ xóa tất cả các bản sao khối lượng bóng cho tất cả các ổ đĩa trên máy tính. Trong một số trường hợp, Ransomware sẽ sử dụng các lệnh PowerShell hoặc WMIC để xóa các SVCs thay thế.
Bất kể các bản sao này bị xóa như thế nào, ransomware sẽ loại bỏ các SVCs để bạn không thể phục hồi các tệp được mã hóa bởi ransomware.