Kenvix's Blog
·
利用Windows卷影副本(Volume Shadow)找回被覆盖和删除的数据
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
Windows系统恢复机制创建卷影副本,类似Linux快照,可找回被删除或覆盖的数据,但存在bug不可靠。利用软链接挂载卷影副本到文件系统下,可访问过去时间点的文件系统视图,挂载和卸载方法简单。注意卷影副本中的文件可能有损坏。
🎯
关键要点
- Windows系统恢复机制定期创建卷影副本,类似于Linux的快照。
- 卷影副本可以找回被删除或覆盖的数据,但存在严重bug,可靠性差。
- 使用软链接可以将卷影副本挂载到文件系统,访问过去时间点的文件视图。
- 挂载卷影副本前需确保系统恢复未禁用,文件系统为NTFS,并存在可用的还原点。
- 挂载和卸载卷影副本的方法简单,卸载只需删除相应的文件夹。
- 卷影副本中的文件可能会损坏,需仔细核查文件内容。
- 该方法仅适用于紧急情况或取证场景,不能替代备份软件。
➡️
