A meno di acquistare hardware identico, il computer di mia sorella è morto e lei ha tenuto solo il disco rigido. Ha spostato un file su un FD USB prima che morisse, ma non riesce a trovare l'FD. Lei sa che era sul desktop. Ho usato la funzione "Versioni precedenti" sul suo computer per recuperare i file, quindi so che è abilitato. Ma con l'unità collegata a un dock del disco rigido USB, è possibile sfogliare Windows 7 versioni precedenti della sua cartella del desktop?
La risposta breve è forse. Le versioni precedenti di Windows sono contenute in quelle che vengono chiamate copie shadow del volume. Il volume shadow copy service (VSC) è il responsabile della conservazione di queste versioni precedenti dei file. Quindi, se stai cercando uno hai bisogno di accedere alla copia shadow del disco.
Il VSC non occupa spazio su disco usato, ma utilizza lo spazio libero per archiviare i file, mentre l'unità si riempie, queste copie vengono automaticamente eliminate per fare spazio ai file di spazio utilizzato.
Per quanto riguarda l'accesso, se tutto ciò che hai è l'unità stessa, la cosa migliore che puoi fare è seguire un metodo di risposta forense o di incidente. EnCase ha la capacità di montare VSC da un'immagine del disco ma dubito che tu abbia accesso ad esso. In tal caso, creare un'immagine dell'unità e quindi montarla in EnCase PDE e utilizzare vssadmin per accedere alla copia shadow.
Se no, potrebbe esserci un metodo che ti aiuta ma non l'ho mai provato da solo. Ho intenzione di fare una scia di questo metodo per recuperare i file VSC da un'immagine di un disco, ma non ho mai avuto il tempo di creare un laboratorio adatto a questo. È sulla mia lista delle cose da fare. Comunque penso che potrebbe essere la soluzione migliore per recuperare i file se sono effettivamente contenuti in un VSC.
Il post completo del blog si trova qui:
È importante creare un'immagine completa del disco dell'unità. Una copia diretta bit per bit. dd andrà bene per questo o testdisk, entrambi gli strumenti di linux che puoi usare facilmente per creare un'immagine adatta. Ti invito non a utilizzare l'unità stessa per questo tipo di test. Un'immagine può essere sostituita. L'unità non può.
Segui i passaggi che questa persona ha utilizzato per accedere e manipolare i VSC e potresti essere in grado di montare il tuo VSC e trovare quello che stai cercando.
Buona fortuna!
Una copia dd'c non avrà la profondità di bit originale e quindi i dati sovrascritti che si sta tentando di recuperare non saranno lì. È necessario utilizzare uno strumento di copia che comprenda il multiplexing di profondità, si spera alla profondità massima di 32. Encase è un (buon) esempio.
Leggi altre domande sui tag data-recovery recovery forensics