Volume Shadow Copy (VSC) ist bei Windows 7 auf dem Systemlaufwerk standardmäßig aktiv; auf anderen Laufwerken muss es erst aktiviert werden – Stichwort: Computerschutz.

Neben der Option “Vorgängerversion wiederherstellen” im Explorer-Kontextmenu gibt es die Möglichkeit, VolumeShadowCopy
auch über eine Command-Shell (Eingabeaufforderung) zu nutzen.

Anzeigen der vorhandenen VSCs durch folgende Eingabe an der administratorberechtigten Eingabeaufforderung:

c:\vssadmin list shadows

oder für ein bestimmtes Laufwerk:

c:\vssadmin list shadows /for=d:

Um einzelne Verzeichnisse / Dateien zu kopieren kann eine VolumeShadowCopy in ein Verzeichnis gelinkt werden:

C:\mklink /d d:\zielverzeichnis \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10\

Der abschließende “\” ist erforderlich!

Es ist auch möglich, einen Raw-Export des jeweiligen Laufwerks (bzw. der Partition) aus der VolumeShadowCopy zu erstellen; dies kann hilfreich sein,
wenn z.B. das System von einem Verschlüsselungstrojaner befallen wurde und alle Dateien des Benutzers verschlüsselt sind.
Hier wird eine Variante von “dd” für Windows eingesetzt:

C:\Program Files\fau.x64\dd if=\\.\HarddiskVolumeShadowCopy10 of=d:\shadowrawkopie.dd --localwrt