Mounten einer Windows-Volume-Schattenkopie unter Linux mit libvshadow

1067
Jesse

Ich bin in letzter Zeit auf einige Fälle gestoßen, in denen ich Zugriff auf die Rohdateien habe, die vom Volume Shadow-Dienst unter Windows erstellt wurden. Mein Ziel ist es, Dateien aus der Schattenkopie wiederherzustellen, auf die wir auf andere Weise keinen Zugriff mehr haben.

Mein aktuelles Problem liegt bei einer Locky-Variante der Ransomware-Familie, bei der Schattenkopien durch den vssadminBefehl auf dem infizierten Windows 7-Computer gelöscht wurden . Ich konnte die System Volume-Informationen über testdiskeine separate Ubuntu-Installation wiederherstellen und die wiederhergestellten Dateien wieder in den System Volume InformationOrdner legen . In einer früheren Instanz musste ich die System Volume-Informationen nicht wiederherstellen, und es gab keine Ransomware-Infektion. Ich konnte libvshadowden Schattenkopienspeicher jedoch immer noch nicht anzeigen.

Soweit ich es verstehe, behält die VSS ihre Schattenkopien bei C:\System Volume Information\. Jede "Kopie" wird als einzelne Datei mit einem GUID-ähnlichen Namen ( ) gespeichert . In meinem Fall habe ich mehrere dieser Dateien mit einer Größe zwischen 600 MB und 1,1 GB.

Das Laufwerk wird über ein USB-Dock an eine Standard-Desktop-Installation von Ubuntu 16.04 angeschlossen, und die Windows-Partition wird /media/user/Windows 7 OS/über via eingehängt /dev/sdc2. Wenn ich renne vshadowinfo /dev/sdc2, wird mir gesagt, dass es 0 Geschäfte gibt.

Die Frage ist also: Wie kann ich auf diese Dateien zugreifen, wenn sich anscheinend alles an der richtigen Stelle befindet, aber sowohl vshadowinfounter Linux als auch unter ShadowExplorer unter Windows, dass es keine Speicher gibt?

1

0 Antworten auf die Frage

Verwandte Probleme