Что именно Windows System Restore выполняет резервное копирование и восстановление?

20

Мне просто нужно было восстановить систему на машине с Windows XP, зараженной каким-либо вредоносным ПО или вирусом. Помимо прочего, вирус скрыл все файлы и папки на всех дисках, удалил все ярлыки в меню «Пуск» и каким-то образом заблокировал и заблокировал рабочий стол. После исправления некоторых вещей вручную (но не с рабочего стола) я подумал о восстановлении системы. Выполнение восстановления системы прошло успешно, а также исправлена ​​проблема с рабочим столом.

Но это оставило меня с вопросами:

  • Что именно Восстановление системы восстанавливает, а не восстанавливает?
  • Есть ли заметные различия между Windows XP и Windows Vista / 7 Восстановление системы?

Редактировать : я знаю, в целом, что восстановление системы восстанавливает: конфигурацию Windows, но не ваши файлы. Меня интересует более подробная информация, например, он также сбрасывает мета-свойства файлов (например, только для чтения, скрытые), если он восстанавливает программы, какие части программы восстанавливаются (только файл .exe или связанные файлы в приложении). данные', ...?), ...

Rabarberski
источник

Ответы:

10

Восстановлен

  • Реестр (примечание: некоторые текущие значения сохранятся)
  • Профили (только локальные - перемещаемые профили пользователей, на которые восстановление не влияет)
  • COM + DB
  • WFP.dll кеш
  • БД WMI
  • Метабаза IIS
  • Файлы с расширениями, перечисленными в списке отслеживаемых расширений файлов

Не восстановлено :

  • Настройки DRM
  • SAM ульи (не восстанавливает пароли)
  • Настройки WPA (информация аутентификации Windows не восстанавливается)
  • Содержимое папки «Мои документы»
  • Конкретные каталоги / файлы, перечисленные в списке отслеживаемых расширений файлов
  • Любой файл с расширением, не указанный в списке отслеживаемых расширений файлов
  • Элементы, перечисленные в обоих Filesnottobackupи KeysnottoRestore ( HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore)
  • Пользовательские данные хранятся в профиле пользователя
  • Содержимое перенаправленных папок
Мехпер С. Палавузлар
источник
1
Не уверен, если это правда. Я выполнил восстановление системы, но оно не удалось, но я все же изменил содержимое «Мои документы», отменил изменения имени папки, удалив файлы и т. Д.
endolith
Ссылка на список отслеживаемых расширений файлов не работает.
Дрю Чапин
@DrewChapin: сайт в настоящее время не работает. На этой странице представлен официальный список расширений отслеживаемых файлов.
Мехпер С. Палавузлар
1

Если вы восстановили свой компьютер до точки заражения вирусом, возможно, вирус был повторно введен. Посмотрите, как антивирусное программное обеспечение и Восстановление системы работают вместе для деталей.


Что касается файлов, с которыми имеет дело восстановление системы, Microsoft говорит:

Восстановление системы может вносить изменения в системные файлы Windows, параметры реестра и программы, установленные на вашем компьютере. Он также может вносить изменения в сценарии, командные файлы и другие типы исполняемых файлов на вашем компьютере. Личные файлы, такие как документы, электронная почта, фотографии и музыкальные файлы, не изменяются.

Bryan
источник
Итак, на вопрос о том, что система восстанавливает, восстанавливает, отвечает: иногда вирусы :-)
Psycogeek
1
Я взял точку восстановления несколько недель назад, чтобы минимизировать проблему с вирусом, и я проверил наличие вируса после восстановления. Что касается вашего ответа, я ищу более подробную информацию, чем расплывчатое описание Microsoft (то есть, что означает "... может сделать ..."?)
Рабарберски
0

Восстановление системы - это компонент операционных систем Microsoft Windows Me, Windows XP, Windows Vista и Windows 7, но не Windows 2000, который позволяет выполнять откат системных файлов, разделов реестра, установленных программ и т. Д. До предыдущего состояния в событие системной неисправности или сбоя.

В «Восстановление системы» пользователь может вручную создать новую точку восстановления, выполнить откат к существующей точке восстановления или изменить конфигурацию восстановления системы. Более того, само восстановление можно отменить. Старые точки восстановления отбрасываются, чтобы сохранить использование тома в пределах указанного количества. Для многих пользователей это может обеспечить точки восстановления за последние несколько недель. Пользователи, связанные с производительностью или использованием пространства, также могут полностью отключить восстановление системы. Файлы, хранящиеся на томах, не отслеживаемых с помощью функции восстановления системы, никогда не копируются и не восстанавливаются.

Восстановление системы создает резервные копии системных файлов определенных расширений (.exe, .dll и т. Д.) И сохраняет их для последующего восстановления и использования. Он также создает резервную копию реестра и большинства драйверов.

Случайный парень
источник
Спасибо за Ваш ответ. Однако я ищу более подробную информацию (какие конкретно расширения файлов, в каких папках (все они?), Какие драйверы, ...).
Рабарберски
Файлы, такие как важные системные файлы и .dll, папки, такие как system32, и драйверы, такие как чипсет, графика, аудио, драйверы локальной сети.
Случайный парень
0

в наши дни виртуальных машин, кто-либо, кто виртуальные машины (может быть, ypu делать?) большинство делают. К сожалению, нет! Но любой с ними может сделать тест. Вы помещаете файлы различных расширений в разные каталоги, выполняете восстановление системы, чтобы увидеть, исчезнут ли файлы. Я давным-давно провела тест, но у меня нет записок, которые я сделала. Я знаю, что с Windows XP, C: \ Program Files и профилем пользователя, а также рабочим столом находятся под угрозой каталоги, некоторые новые файлы (возможно, только определенные расширения) исчезнут оттуда. И файлы в подкаталогах программных файлов. EXE-файлы исчезли бы. Любая директория, которую вы создаете в корне, например, c: \ sdfsf, определенно подходит / оставлена ​​одна. Нет сомнений, что ваш реестр отодвинут

в xp говорится: «процесс не приводит к потере сохраненных документов или работы и полностью обратим». может, им сойдет с рук это сообщение, потому что они говорят, что оно обратимо! Я не помню, удалит ли он «новые» TXT на рабочем столе, меня это не удивит. Это действительно удаляет "новые" EXE-файлы. Под новым я имею ввиду восстановление.

EXE - это, безусловно, тип файла, который он любит удалять из каталогов, из которых он любит удалять. Он также может удалить целые каталоги, я не помню, но стоит попробовать, вы можете обнаружить, что любой новый каталог, созданный в c: \ program files, удален.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx "Ниже приведен список отслеживаемых расширений имен файлов. Файлы с этими расширениями отслеживаются системой Восстановление в Windows Vista и более поздних версиях. Файлы, которые отслеживаются или исключаются из мониторинга в Windows XP, указаны в файле% windir% \ system32 \ restore \ Filelist.xml. Файл Filelist.xml не существует в Windows Vista и более поздних версиях. "

(это длинный список, может быть, мне не очень хорошая идея скопировать / вставить его)

barlop
источник
Извините, но ваш ответ очень
условен
Если вы когда-нибудь проходили тестирование самостоятельно, я бы настоятельно рекомендовал протестировать файлы c: \ programme и рабочий стол на наличие EXE-файлов. Например, в XP вы наверняка найдете там EXE-файлы, которые удаляются.
Барлоп