Recupero dati con le copie shadow di Windows

• Utilità di sistema
• Howto

Le copie shadow (shadow copy) sono state introdotte in Windows a tempi del lancio di Vista. Vengono così chiamate le copie di backup del contenuto di file, cartelle e interi volumi create in un certo istante.

Proprio a partire da Windows Vista il sistema operativo Microsoft iniziò a usare le copie shadow come strumento essenziale per il ripristino della macchina a uno stato precedente.
L’utilità Ripristino configurazione di sistema è ancora oggi utile e accessibile digitando rstrui nella casella di ricerca (oppure premendo Windows+R).
In un altro articolo abbiamo parlato delle differenze tra punti di ripristino e copie shadow.

Le copie shadow vengono conservate in una cartella di sistema nascosta che si chiama System Volume Information.
Ciascuna copia shadow tiene traccia delle modifiche apportate al contenuto di file, cartelle e interi volumi. Si tratta di backup differenziali in cui vengono salvate le differenze rispetto al contenuto delle copie shadow create in passato.

Di default la creazione di una copia shadow avviene una volta alla settimana sulle normali workstation Windows mentre ogni giorno sui sistemi Windows Server.
ll servizio che si occupa della creazione delle copie shadow in Windows (nelle ultime versioni è chiamato Volume Snapshot Service o VSS) impiega di default tra il 3% e il 5% dello spazio disponibile per la memorizzazione dei file.

Il grande vantaggio di VSS è che il servizio può creare una copia dei file che sono attualmente in uso ed è quindi utilizzato dai migliori programmi di disk imaging per la creazione di immagini del contenuto di singole partizioni e intere unità: Macrium Reflect che clona anche il contenuto di hard disk su SSD gratis è uno di questi programmi.

Copie shadow di Windows per il recupero dati

È interessante considerare un aspetto importante: nella stragrande maggioranza delle configurazioni di Windows e Windows Server il servizio VSS viene mantenuto sempre attivo perché è utile e non causa problemi in termini di performance o di occupazione delle risorse macchina.

Quando si cancella in modo sicuro un file (non solo evitando di passare per il Cestino ma anche usando utilità di wiping) una sua copia potrebbe verosimilmente risultare ancora memorizzata in una precedente copia shadow.
Nelle copie shadow si possono trovare anche precedenti copie delle cartelle del registro e altre informazioni spesso davvero molto utili.

Per verificare il contenuto delle copie shadow e procedere eventualmente a un recupero dati si può digitare cmd nella casella di ricerca di Windows quindi scegliere Esegui come amministratore.

Il comando vssadmin list shadowstorage mostra su quali unità collegate con il sistema in uso vengono create copie shadow e quanto spazio viene ad esse destinato.

Per ottenere l’elenco delle copie shadow memorizzate sul sistema in uso basta digitare quanto segue:

vssadmin list shadows

In corrispondenza di Volume originale è riportata la lettera identificativa di unità alla quale si riferisce ciascuna copia shadow.
Per ottenere solo i percorsi di ciascuna copia shadow si può scrivere ciò che segue:

vssadmin list shadows | findstr "copia shadow"

Portiamoci adesso nella cartella del desktop relativa al profilo utente corrente:

cd %userprofile%\Desktop

Creando un link simbolico che punta a una copia shadow creata tempo addietro si può verificare il contenuto dell’unità così come si presentava in passato:

mklink /d test \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Al posto di \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 si può incollare una stringa Volume copia shadow presa dalla lista restituita dal comando vssadmin list shadows.
È fondamentale aggiungere un backslash (barra rovesciata) alla fine come nell’esempio altrimenti si riceverà sempre l’errore Accesso negato.

Sul desktop di Windows apparirà un collegamento chiamato test: cliccandoci due volte si accede ai dati conservati nella copia shadow.

Nella copia shadow si troveranno anche file e cartelle non presenti nella versione “live” del sistema in uso.

Il link simbolico potrà essere rimosso in qualunque momento semplicemente eliminando il collegamento test dal Desktop.

Copiare altrove il contenuto di una copia shadow

Se si volesse copiare in un’altra unità tutto il contenuto di una copia shadow “montata” in Windows così come visto in precedenza, è sufficiente usare Robocopy:

robocopy %userprofile%\Desktop\test X:\CARTELLA_DESTINAZIONE /mir /sec /e /w:10 /r:3 /xc /xn /xo /mt:32

Il comando permette di copiare tutto il contenuto della copia shadow insieme con i privilegi delle varie cartelle usando contemporaneamente fino a 32 istanze di Robocopy (multithreading).
Le opzioni /xc /xn /xo consentono rispettivamente di escludere i file con uguale timestamp ma dimensione diversa; di escludere i file che nella cartella di destinazione sono più nuovi di quelli conservati nella cartella di origine; di escludere i file che nella cartella di destinazione sono più vecchi di quelli della cartella di origine.

Al posto di %userprofile%\Desktop\test va indicato il link simbolico che fa riferimento al contenuto di una copia shadow mentre X:\CARTELLA_DESTINAZIONE va sostituito con il percorso della cartella di destinazione nella quale si vuole salvare tutto quanto memorizzato nella shadow copy specificata.

Se si riscontrassero problemi nella rimozione di una cartella di backup contenente file provenienti da una copia shadow basta seguire le indicazioni riportate nell’articolo in cui vediamo come eliminare le cartelle che non si cancellano a causa di problemi di permessi.

Strumenti alternativi per la gestione delle copie shadow: VSCMount, ShadowCopyView e Sift Workstation

Uno strumento alternativo ancora più semplice da usare per accedere al contenuto delle copie shadow si chiama VSCMount.

Portandosi nella cartella in cui si è estratto l’eseguibile di VSCMount, si può digitare quanto segue per montare le copie shadow relative all’unità C: (sostituire eventualmente con la lettera identificativa corretta):

vscmount --dl C --mp \test

VSCMount monterà il contenuto di tutte le copie shadow trovate per l’unità C: e le renderà in questo caso accessibili portandosi all’interno dell’unità C:\test_C.

Al termine delle operazioni di analisi e recupero dati, la cartella C:\test_C potrà essere rimossa.

Un altro software gratuito molto valido per “navigare” all’interno del contenuto delle copie shadow di Windows è ShadowCopyView scaricabile dal sito del produttore NirSoft scorrendo la pagina di download quindi selezionando la versione a 64 o 32 bit a seconda della versione del sistema operativo in uso.

Nella parte superiore della finestra è possibile selezionare una delle copie shadow disponibili: per ciascuna di esse, nella colonna Explorer path, è indicata anche la data e l’ora di creazione mentre in corrispondenza di Volume path si trova la lettera identificativa di unità alla quale ciascuna copia si riferisce.

Il riquadro sottostante permette di “navigare” il contenuto della copia shadow selezionata.
Scegliendo uno o più file/cartelle (servirsi eventualmente dei tasti MAIUSC e CTRL per effettuare selezioni multiple), cliccando con il tasto destro quindi utilizzando Copy selected files to la copia di backup sarà recuperata e ripristinata nella cartella indicata.

Infine, il software Sift Workstation (SANS) destinato agli utenti ancora più avanzati consente di attingere al contenuto delle copie shadow memorizzate nelle cartelle System Volume Information dei sistemi che non stanno funzionando “live”. Si pensi ad esempio alle immagini di unità di memorizzazione create in precedenza e ai sistemi Windows che non si avviano più.
Suggeriamo di fare riferimento a questo schema di supporto e in particolare al riquadro Mounting Volume Shadow Copies.