venerdì 15 gennaio 2021 di 5231 Letture
Recupero dati con le copie shadow di Windows

Recupero dati con le copie shadow di Windows

Come usare le copie shadow di Windows per il recupero dati. Due utilità da riga di comando per ripristinare file e cartelle.

Le copie shadow (shadow copy) sono state introdotte in Windows a tempi del lancio di Vista. Si tratta di copie di backup del contenuto di file, cartelle e interi volumi in un certo istante.
Proprio a partire da Windows Vista il sistema operativo Microsoft iniziò a usare le copie shadow come strumento essenziali per il ripristino della macchina a uno stato precedente usando l'utilità Ripristino configurazione di sistema, ancora oggi utile e accessibile digitando rstrui nella casella di ricerca (oppure premendo Windows+R). Ne abbiamo parlato nell'articolo Punto di ripristino Windows 10 e differenza con copia shadow.

Le copie shadow memorizzano sull'unità (nella cartella di sistema nascosta dal nome System Volume Information) tutte le informazioni differenziali rispetto ai dati salvati e direttamente accessibili dall'utente. In altre parole vengono annotate (usando generalmente blocchi di dati di piccole dimensioni) le modifiche apportate al contenuto di file, cartelle e interi volumi.
Di default la creazione di una copia shadow avviene una volta alla settimana sulle normali workstation Windows mentre ogni giorno sui sistemi Windows Server.
ll servizio che si occupa della creazione delle copie shadow in Windows (nelle ultime versioni è chiamato Volume Snapshot Service o VSS) impiega di default tra il 3% e il 5% dello spazio disponibile per la memorizzazione dei file.


Il grande vantaggio di VSS è che il servizio può creare una copia dei file che sono attualmente in uso ed è quindi ampiamente utilizzato dai migliori programmi di disk imaging per la creazione di immagini del contenuto di singole partizioni e intere unità: Macrium Reflect, per clonare hard disk su SSD gratis.

Copie shadow di Windows per il recupero dati

È interessante considerare un aspetto importante: nella stragrande maggioranza delle configurazioni di Windows e Windows Server il servizio VSS viene mantenuto sempre attivo perché è utile e non causa problemi in termini di performance o di occupazione delle risorse macchina.

Anche cancellando in modo sicuro un file, quindi, una sua copia potrebbe verosimilmente risultare ancora memorizzata in una precedente copia shadow.
Nelle copie shadow si possono trovare precedenti copie delle cartelle del registro degli eventi e altre informazioni spesso davvero molto utili.

Oltre ai metodi già descritti nell'articolo citato in apertura, per verificare il contenuto delle copie shadow e procedere eventualmente a un recupero dati si può premere Windows+R quindi digitare cmd usando poi la combinazione di tasti CTRL+MAIUSC+INVIO per aprire il prompt dei comandi con i diritti di amministratore.

Recupero dati con le copie shadow di Windows

A questo punto basterà digitare il comando seguente per ottenere l'elenco delle copie shadow memorizzate sul sistema in uso:

vssadmin list shadows

In corrispondenza di Volume originale si troverà la lettera identificativa di unità alla quale si riferisce ciascuna copia shadow.
Proviamo adesso a portarci ad esempio nella cartella del desktop per il profilo utente corrente:

cd %userprofile%\Desktop

Creando un link simbolico a una copia shadow creata tempo addietro si potrà verificare il contenuto dell'unità così come si presentava in passato:

mklink /d test \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy41\

Al posto di \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy41 si può incollare un Volume copia shadow preso dalla lista restituita dal comando vssadmin list shadows. È fondamentale aggiungere un backslash (barra rovesciata) alla fine come nell'esempio.

Sul desktop di Windows apparirà un collegamento chiamato test: cliccandoci due volte si accederà al contenuto dell'unità memorizzato all'interno della copia shadow.

Recupero dati con le copie shadow di Windows

Nella copia shadow si troveranno anche file e cartelle non presenti nella versione "live" del sistema in uso.

Il link simbolico potrà essere rimosso in qualunque momento semplicemente eliminando il collegamento test dal Desktop.


Uno strumento alternativo, ancora più semplice da usare, si chiama VSCMount.


Portandosi nella cartella in cui si è estratto l'eseguibile di VSCMount, si può digitare quanto segue per montare le copie shadow relative all'unità C: (sostituire eventualmente con la lettera identificativa corretta):

vscmount --dl C --mp \test

VSCMount monterà il contenuto di tutte le copie shadow trovate per l'unità C: e le renderà in questo caso accessibili portandosi all'interno dell'unità C:\test_C.

Recupero dati con le copie shadow di Windows

Al termine delle operazioni di analisi e recupero dati, la cartella C:\test_C potrà essere rimossa.

Il software Sift Workstation (SANS) destinato agli utenti ancora più avanzati consente di attingere al contenuto delle copie shadow memorizzate nelle cartelle System Volume Information dei sistemi che non stanno funzionando "live". Si pensi ad esempio alle immagini di unità di memorizzazione create in precedenza e ai sistemi Windows che non si avviano più.
Suggeriamo di fare riferimento a questo schema di supporto e in particolare al riquadro Mounting Volume Shadow Copies.


I più scaricati del mese

Recupero dati con le copie shadow di Windows - IlSoftware.it