美亞恢復(fù)大師永恒之藍最新版是款界面精美、功能性強的病毒防護工具,美亞恢復(fù)大師永恒之藍最新版支持計算機恢復(fù)以及文檔恢復(fù)功能,支持通過文件系統(tǒng)的刪除恢復(fù)原理對數(shù)據(jù)嘗試恢復(fù),還可以通過卷影副本數(shù)據(jù)進行恢復(fù),操作簡單便捷,特別實用。
一、通過文件系統(tǒng)刪除恢復(fù)原理恢復(fù)
WannaCry病毒刪除原文件與普通的文件刪除過程情形一致,可以通過文件系統(tǒng)的刪除恢復(fù)原理對數(shù)據(jù)嘗試恢復(fù)。 這也是目前國內(nèi)有部分安全廠商提供的工具的運行方法。但是此方式的局限性在于必需確保原文件刪除后未被新的數(shù)據(jù)覆蓋,如果后續(xù)文件讀寫操作操作比較多,則可能造成數(shù)據(jù)恢復(fù)失敗。數(shù)據(jù)恢復(fù)可能性不穩(wěn)定。
二、通過卷影副本數(shù)據(jù)進行恢復(fù)
在數(shù)據(jù)被覆蓋無法通過常規(guī)方式進行恢復(fù)的情況下,我們依然可以嘗試使用另一個方式——卷影副本服務(wù)。
卷影副本服務(wù)是Windows系統(tǒng)默認開啟的文件備份服務(wù)。該服務(wù)在W XP/2003開始引入,windows 2003 Server/Vista 得到加強,并在Windows 7/8/8.1/10所有版本默認開啟的,可以在一定條件下保存文件的歷史版本數(shù)據(jù)。
根據(jù)網(wǎng)上的資料,WannaCry病毒在運行后除了加密特定類型文件,還會清除系統(tǒng)中的卷影副本數(shù)據(jù)。但通過我們研發(fā)人員的實際測試,在部分版本(主要是64位)的系統(tǒng)中,卷影副本并未被清除。如果被感染的計算機還存在卷影副本數(shù)據(jù),通過一定的方式讀取并導(dǎo)出文件的歷史版本,即可“恢復(fù)”出相關(guān)數(shù)據(jù),若計算機在被感染前一天有開機系統(tǒng)默認備份過,更有可能實現(xiàn)100%數(shù)據(jù)恢復(fù)。
【1】打開美亞恢復(fù)大師永恒之藍最新版,選擇“計算機恢復(fù)”功能,如下圖:
【2】數(shù)據(jù)源類型選擇“鏡像”,如下圖:
【3】點擊“添加鏡像”選擇磁盤鏡像文件(本例中為上述實驗的虛擬機鏡像),如下圖:
【4】選擇完成后,點擊快速恢復(fù),稍等片刻恢復(fù)完成后在左側(cè)恢復(fù)結(jié)果樹中的“辦公文檔”→“Word文檔”節(jié)點即可找到恢復(fù)成功的“美亞柏科簡介.doc”文檔,且可正常預(yù)覽和導(dǎo)出,如下圖所示:
【5】如果被感染磁盤中還存在卷影副本數(shù)據(jù),則快速恢復(fù)結(jié)束后會在結(jié)果中多出一個形如“分區(qū)3_本地磁盤[分區(qū)1_本地磁盤[C ]卷影快照2017-05-14 14:23:57 ”的節(jié)點,其中的數(shù)據(jù)可以直接預(yù)覽,導(dǎo)出即可恢復(fù)計算機上一次備份。若備份及時,甚至可以恢復(fù)出感染前的全部數(shù)據(jù)。如下圖所示:
【6】在具體實踐中,如果“快速恢復(fù)”未恢復(fù)出所需數(shù)據(jù),可以嘗試點擊上圖左下角的“深度恢復(fù)”按鈕進行全盤掃描,可能恢復(fù)出更多的數(shù)據(jù)。
盖楼回复X
(您的评论需要经过审核才能显示)
網(wǎng)友評論