什麼是卷影拷貝？

從Windows XP SP2和Windows Server 2013開始，微軟就向Windows作業系統中引入了一項名叫卷影拷貝的服務（Volume Shadow Copy Service-VSS）。這種服務允許Windows系統以自動或手動的方式對檔案或磁碟卷宗的當前狀態進行備份（或快照），需要注意的是，在這個過程中，即使檔案處於開啟狀態下該服務仍然可以直接進行檔案備份。

當這些備份檔案被建立之後，它們會被儲存在一個特殊的容器中，即卷影拷貝（Volume Shadow Copy）。備份軟體、實用工具或Windows系統都可以使用這些卷影拷貝來恢復已被刪除或以某種形式修改後的檔案。當我們使用卷影拷貝服務建立了一個備份檔案時，它使用的是一種基於版本的方法備份的，即每次只備份檔案中發生了變化的地方，而不是備份整個檔案。因此，這種機制將允許我們檢視到同一檔案的不同版本，而不需要佔用大量的磁碟空間。

你可以看到，如果有需要的話，這項技術可以幫助我們恢復被刪除或被修改的檔案。但是除此之外，我還發現這項服務可以用來恢復舊的遊戲存檔、已被勒索軟體加密的檔案、或自己不小心刪除的檔案。

在這篇文章中，我將給大家介紹兩種使用卷影拷貝服務來恢復檔案的方法。

第一種方法利用的是Windows內建的功能-以前的版本（Previous Versions）；第二種方法使用了一款名叫Shadow Explorer的工具，這款工具可以幫助你直接檢視卷影拷貝的檔案或資料夾。

如何使用Windows的內建功能-以前的版本（Previous Versions）來恢復檔案

Windows內建有一種名叫以前的版本（PreviousVersions）的功能，這項功能可以幫助我們從卷影拷貝快照中恢復以前的檔案。下面所介紹的方法只能從卷影拷貝中恢復單一檔案，如果你想要恢復整個資料夾的話，請看下面的章節。

首先，進入包含需要恢復檔案的資料夾：

右鍵點選需要恢復的檔案，選擇屬性：

在彈出的選單中，點選“屬性”（Properities），然後點選“以前的版本”（Previous Versions）標籤。接下來，你會看到卷影拷貝中儲存的該檔案所有的之前版本。

接下來，你可以點選“恢復”（覆蓋檔案的當前版本）或“複製”（可選儲存地址）按鈕來恢復檔案。如果你不確定的話，我建議你點選“複製”按鈕將檔案儲存到特定目錄中：

如何恢復整個資料夾

實際上，恢復資料夾跟恢復單一檔案的操作是差不多的，只不過在右鍵點選並選擇“屬性”的這一步操作中，如果你想要恢復資料夾，你需要在資料夾中的空白地方點選滑鼠右鍵並選擇“屬性”。

剩下的操作就跟之前恢復單一檔案時是一樣的了，即選擇需要恢復的資料夾版本，然後點選“複製”按鈕即可。

使用ShadowExplorer從卷影拷貝中恢復檔案或資料夾

ShadowExplorer下載地址：【閱讀原文】

就我個人而言，我比較偏愛這種方法，因為操作起來比較直觀。下載好這個工具之後，開啟它，你將會看到一個類似資源管理器的介面，其中包含有各個驅動器下的卷影拷貝以及相應的修改日期和檔案型別。你可以選擇驅動器和建立時間來快速尋找需要恢復的檔案：

接下來，找到你需要恢復的檔案或資料夾，右鍵點選它，然後選擇“匯出”（Export）。

點選了“匯出”之後，ShadowExplorer將會顯示一個對話方塊讓你選擇將檔案恢復到哪裡，選擇好之後點選“確認”（OK）即可：

為什麼惡意軟體會嘗試刪除卷影副本？

計算機勒索軟體在感染了Windows系統並加密了目標使用者的檔案之後，通常都會嘗試刪除卷影副本。大家已經看到了，使用卷影副本來恢復檔案是多麼的簡單，那麼勒索軟體當然不想使用者這麼輕鬆地就恢復了自己的檔案！

當勒索軟體嘗試刪除卷影副本時，通常使用的是下面這行命令：

C:WindowsSysnativevssadmin.exe"Delete Shadows /All /Quiet

這條命令執行之後，Windows將會顯示一條UAC對話方塊並詢問使用者是否要以管理員許可權執行這條命令。如果使用者允許執行，那麼vssadmin.exe將會刪除目標主機中所有驅動器的卷影副本。在某種情況下，勒索軟體還會使用PowerShell或WMIC命令來刪除SVC，並以此來防止使用者恢復那些已被勒索軟體加密了的檔案。