Мне просто нужно было восстановить систему на машине с Windows XP, зараженной каким-либо вредоносным ПО или вирусом. Помимо прочего, вирус скрыл все файлы и папки на всех дисках, удалил все ярлыки в меню «Пуск» и каким-то образом заблокировал и заблокировал рабочий стол. После исправления некоторых вещей вручную (но не с рабочего стола) я подумал о восстановлении системы. Выполнение восстановления системы прошло успешно, а также исправлена ​​проблема с рабочим столом.

Но это оставило меня с вопросами:

• Что именно Восстановление системы восстанавливает, а не восстанавливает?
• Есть ли заметные различия между Windows XP и Windows Vista / 7 Восстановление системы?

Редактировать : я знаю, в целом, что восстановление системы восстанавливает: конфигурацию Windows, но не ваши файлы. Меня интересует более подробная информация, например, он также сбрасывает мета-свойства файлов (например, только для чтения, скрытые), если он восстанавливает программы, какие части программы восстанавливаются (только файл .exe или связанные файлы в приложении). данные', ...?), ...

Восстановлен

• Реестр (примечание: некоторые текущие значения сохранятся)
• Профили (только локальные - перемещаемые профили пользователей, на которые восстановление не влияет)
• COM + DB
• WFP.dll кеш
• БД WMI
• Метабаза IIS
• Файлы с расширениями, перечисленными в списке отслеживаемых расширений файлов

Не восстановлено :

• Настройки DRM
• SAM ульи (не восстанавливает пароли)
• Настройки WPA (информация аутентификации Windows не восстанавливается)
• Содержимое папки «Мои документы»
• Конкретные каталоги / файлы, перечисленные в списке отслеживаемых расширений файлов
• Любой файл с расширением, не указанный в списке отслеживаемых расширений файлов
• Элементы, перечисленные в обоих Filesnottobackupи KeysnottoRestore ( HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore)
• Пользовательские данные хранятся в профиле пользователя
• Содержимое перенаправленных папок

Если вы восстановили свой компьютер до точки заражения вирусом, возможно, вирус был повторно введен. Посмотрите, как антивирусное программное обеспечение и Восстановление системы работают вместе для деталей.

Что касается файлов, с которыми имеет дело восстановление системы, Microsoft говорит:

Восстановление системы может вносить изменения в системные файлы Windows, параметры реестра и программы, установленные на вашем компьютере. Он также может вносить изменения в сценарии, командные файлы и другие типы исполняемых файлов на вашем компьютере. Личные файлы, такие как документы, электронная почта, фотографии и музыкальные файлы, не изменяются.

Восстановление системы - это компонент операционных систем Microsoft Windows Me, Windows XP, Windows Vista и Windows 7, но не Windows 2000, который позволяет выполнять откат системных файлов, разделов реестра, установленных программ и т. Д. До предыдущего состояния в событие системной неисправности или сбоя.

В «Восстановление системы» пользователь может вручную создать новую точку восстановления, выполнить откат к существующей точке восстановления или изменить конфигурацию восстановления системы. Более того, само восстановление можно отменить. Старые точки восстановления отбрасываются, чтобы сохранить использование тома в пределах указанного количества. Для многих пользователей это может обеспечить точки восстановления за последние несколько недель. Пользователи, связанные с производительностью или использованием пространства, также могут полностью отключить восстановление системы. Файлы, хранящиеся на томах, не отслеживаемых с помощью функции восстановления системы, никогда не копируются и не восстанавливаются.

Восстановление системы создает резервные копии системных файлов определенных расширений (.exe, .dll и т. Д.) И сохраняет их для последующего восстановления и использования. Он также создает резервную копию реестра и большинства драйверов.

в наши дни виртуальных машин, кто-либо, кто виртуальные машины (может быть, ypu делать?) большинство делают. К сожалению, нет! Но любой с ними может сделать тест. Вы помещаете файлы различных расширений в разные каталоги, выполняете восстановление системы, чтобы увидеть, исчезнут ли файлы. Я давным-давно провела тест, но у меня нет записок, которые я сделала. Я знаю, что с Windows XP, C: \ Program Files и профилем пользователя, а также рабочим столом находятся под угрозой каталоги, некоторые новые файлы (возможно, только определенные расширения) исчезнут оттуда. И файлы в подкаталогах программных файлов. EXE-файлы исчезли бы. Любая директория, которую вы создаете в корне, например, c: \ sdfsf, определенно подходит / оставлена ​​одна. Нет сомнений, что ваш реестр отодвинут

в xp говорится: «процесс не приводит к потере сохраненных документов или работы и полностью обратим». может, им сойдет с рук это сообщение, потому что они говорят, что оно обратимо! Я не помню, удалит ли он «новые» TXT на рабочем столе, меня это не удивит. Это действительно удаляет "новые" EXE-файлы. Под новым я имею ввиду восстановление.

EXE - это, безусловно, тип файла, который он любит удалять из каталогов, из которых он любит удалять. Он также может удалить целые каталоги, я не помню, но стоит попробовать, вы можете обнаружить, что любой новый каталог, созданный в c: \ program files, удален.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx "Ниже приведен список отслеживаемых расширений имен файлов. Файлы с этими расширениями отслеживаются системой Восстановление в Windows Vista и более поздних версиях. Файлы, которые отслеживаются или исключаются из мониторинга в Windows XP, указаны в файле% windir% \ system32 \ restore \ Filelist.xml. Файл Filelist.xml не существует в Windows Vista и более поздних версиях. "

(это длинный список, может быть, мне не очень хорошая идея скопировать / вставить его)