Volume Shadow Copy (VSC) ist bei Windows 7 auf dem Systemlaufwerk standardmäßig aktiv; auf anderen Laufwerken muss es erst aktiviert werden – Stichwort: Computerschutz.
Neben der Option “Vorgängerversion wiederherstellen” im Explorer-Kontextmenu gibt es die Möglichkeit, VolumeShadowCopy
auch über eine Command-Shell (Eingabeaufforderung) zu nutzen.
Anzeigen der vorhandenen VSCs durch folgende Eingabe an der administratorberechtigten Eingabeaufforderung:
c:\vssadmin list shadows
oder für ein bestimmtes Laufwerk:
c:\vssadmin list shadows /for=d:
Um einzelne Verzeichnisse / Dateien zu kopieren kann eine VolumeShadowCopy in ein Verzeichnis gelinkt werden:
C:\mklink /d d:\zielverzeichnis \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10\
Der abschließende “\” ist erforderlich!
Es ist auch möglich, einen Raw-Export des jeweiligen Laufwerks (bzw. der Partition) aus der VolumeShadowCopy zu erstellen; dies kann hilfreich sein,
wenn z.B. das System von einem Verschlüsselungstrojaner befallen wurde und alle Dateien des Benutzers verschlüsselt sind.
Hier wird eine Variante von “dd” für Windows eingesetzt:
C:\Program Files\fau.x64\dd if=\\.\HarddiskVolumeShadowCopy10 of=d:\shadowrawkopie.dd --localwrt