Volume Shadow Copy
Bu makalemizde volume shadow copy ( gölge kopya servisi ) servisinden bahsedeceğiz. Avantajları, dezavantajları neler üzerinde duracağız. Makalemin ilerleyen bölümlerinde bu servise VSC olarak adlandıracağım.
Volume shadow copy servisi açık olan paylaşımları yedekleyerek, client tarafında alınan tüm yedek versiyonlarının kullanıcının görmesini sağlayan servistir. Bir nevi data kurtarma işlevini görür. Peki nasıl?
Farz edelim ki muhasebe biriminde çalışan bir personelsiniz ve önemli bir dosya üzerinde çalışıyorsunuz. Bu dosyanın silinmesi ve ya üzerinde yanlış değişikliklerin olması sizi sıkıntıya sokacaktır. İşte VSC servisi ile dosyaların eski versiyonlarına geri dönüş mümkün olmaktadır. Client tarafında eski versiyonları görüntülemek için ufak bir program kurmanız yeterlidir.
VSC servisi ile yanlışlıkla silinen dosyaların veya üzerinde değişiklik yapılan dosyaları kurtarmak mümkündür.
Volume Shadow Copy Servisinin Özellikleri
· Shadow copy içeriği düzenlemez, read onlydir. Sadece okunabilmektedir.
· NTFS bir volume olması gereklidir.
· Volume yada partition bazlı, içerisinde bulunan tüm paylaşım klasörleri için aktive edilir.
· Bu servisin kurulabilmesi için en az 100mb lık boş alana ihtiyaç vardır. Default olarak diskin %10 luk kısmı shadow copy için ayrılır. Kendi isteğimiz doğrultusunda boyutu belirleyebiliriz. Unutulmaması gereken Shadow Copy için ayrılan alan tamamen dolduğunda, eski gölge kopyalar silinecek ve bir daha geri getirilemeyecektir. O nedenle ayrılacak alanın en başta belirlenmesi tavsiye edilir.
Nasıl çalışıyor şimdi görelim.
Hangi volume yada partitionun gölge kopyası alınacaksa özelliklerine ulaşılarak shadow copies tabı açılır.
Datanın tutulacağı yeri belirtmek için Setting butonuna tıklanır. Karşımıza bir pencere açılacaktır.
Storage area bölümünde bulunan , located on this volume kısmından gölge kopyaların tutulacağı yer seçilebilir.Ben lab amaçlı olduğundan C partitionunda tutacağım.
Ayrıca gölge kopyaların ne kadarlık bir alan kullanacağı maximum size kısmında belirtilebilir. Makalemizin en başında da default olarak diskin %10 luk bir kısmını kullandığını belirtmiştik. Default olarak %10luk bir alanı kullandığını görebiliyoruz.
Shadow copy için Schedule oluşturulabilir. Bunun için Schedule butonuna tıklamamız gerekmektedir.
Gelen pencerede shadow copy için hangi günler, kaç defa copy alınacak gibi periyodlar istek doğrultusunda ayarlanabilir. Default Schedule 07:00 ve 12:00 olarak belirlenmiştir. Kendi yapınıza göre düzenleyebilirsiniz.
Gerekli ayarlar yapıldıktan sonra shadow copyi etkinleştirmeliyiz.
Enable butonuna tıklayarak shadow copyi etkinleştirdik. Bu doğrultuda mevcut volume üzerindeki dataların gölge kopyasını almış oldu. Yukarıda bahsettiğimiz gibi Schedule yapılmışsa, Schedule için belirlenen zaman sürecinde shadow copyleri alacaktır.
Schedule yapılmamışsa Create Now butonuna tıklayarak elle bir shadow copy alabiliriz.
Alınan bu shadow copyler system volume information içerisinde tutulmaktadır.
Server tarafında gerekli shadow copy ayarlarını yaptık, client tarafında nasıl göreceğiz? Makalemin başında da belirttiğim gibi clienta ufak bir program kurmalıyız. Bu program server tarafında C:WINDOWSsystem32clientstwclientx86 twcli32.msi lokasyonunda bulunmaktadır. Bu msi dosyasını clientlara kurmalıyız. Group policy ile de dağıtabilrisiniz.
Yazılımı yükledikten sonra yapılcaklar ise;
İlgili paylaşıma ulaşıp sağ tuş /properties tıklanmalıdır. Tsclient.msi programını yükledikten sonra yeni bir tab burada karşımıza çıkmaktadır.
Alt kısmındaki botunlardan bahsetmek gerekirse;
View: Folder version kısmında görünen o tarih ve saatli shadow copy görüntülenir. Dosyanın o saatteki versiyonu görüntülenir.
Copy: Shadow copy read only olduğu için, o anki versiyonu farklı bir lokasyona kopyalamanız gereklidir. Copy butonuna tıklayınca,
Karşımıza gelen copy items penceresinde kopyalanacak lokasyon belirtilerek copy butonuna tıklanınca kopyasını istenilen lokasyona alacaktır.
Restore: Seçilen dosyanın seçilen versiyonunu orjinal yerine geri yükler.
Karşımıza gelen uyarı penceresinde hedef klasörün istenilen versiyona döneceği belirtilmektedir. Yes butonu tıklanarak işlem tamamlanır.
Makalemizde volume shadow copy servisini ele aldık. Umarım faydalı bir konu olmuştur.
Bir başka makalede görüşmek dileğiyle…
Merhaba, bende Fidye Virüs kurbanıyım, tüm dosyalarım OMFL virüsü ile kilitlendi. Denediğim metodlarla 2018’e kadar kurtardım ama 2020 yılı dosyaları kurtarılamıyor ve şu an bu siteyi gördüm, size yazıyorum
Bu sayfada bu programın setup’unu bulamadım bana yardımcı olabilir misiniz, rica etsem..
Bu arada ben masaüstü Windows 7 Pro kullanıyorum ve uygun mudur?
Cevap bekliyeceğim, Teşekkür ederim.
Merhaba, öncelikle geçmiş olsun. VSC hali hazırda işletim sisteminde olan bir servistir, yani ek bir program değildir. Eğer sizde bu servis açık ise verilerinizi kurtarma şansınız olabilir ancak bu tür kötü niyetli kişiler uzun süredir VSC altında dosya bırakmaz.
İsterseniz bu programlar ile bir deneyin ama sanmıyorum.
https://www.nirsoft.net/utils/shadowcopyview.zip
https://www.nirsoft.net/utils/shadowcopyview-x64.zip
Teşekkür ederim cevap için, ben aslında ShadowExplorer ve Recuva kullandım ve 2018 e kadar olan tüm dosyalarımı düzeltti ama 2019 ve 2020 yi düzeltemedi..
Üstteki linki indirdim, setup’ı açtım ama sürücü olarak C’yi gösteriyor sürücü D’ye nasıl geçebilirim bir türlü bu seçeneği göremedim yoksa göstermiyor mu, hani tavsiye ettiniz ya bu konuda yardımcı olabilir misiniz lütfen..
Tamam D sürücüsünü gördüm ama ShadowExplorer ve Recuva gibi değil ve dosyaları düzeltmiyor yani bana ShadowExplorer ve Recuva benzeri ve 2019-2020 yılındakileri veren gölge kopyalar lazım, bu iki saydığımın dışında bir program var mı bildiğiniz?
Makale 2009 da yazılmış, yani üzerinden 12 yıl geçmiş, daha iyi programlar mutlaka olabilir ama sorun muhtemel ilgili kişinin o verileri silmiş olması. Anladığım kadarı ile de yedeğiniz yok, geçmiş olsun.
Foruma da sormamanızın sebebi gerçek isim ile kabul ediyoruz ve burada olduğu gibi sanırım hacklendiğiniz için gerçek isminizi vermek istemiyorsunuz. Ne yazık ki sizi anlıyorum ama ÇözümPark kurumsal bir platform olduğu için anonim olayı bize uygun değil. Diğer forumları deneyebilirsiniz.
Kimliğim gizli değil, gerçek adım da Lara ve forum derken de nereyi kasttetiğinizi anlamadım ki? Bu siteden mi bahsediyorsunuz, eğer bu siteden bahsediyorsanız şimdi fark ettim üstten üye olunabileceğini tabi ki olurum yeter ki sorunuma bi nebze çare bulunsun, ben o kadar mağdur oldum ki bu başıma gelen fidye virüsü olayından dolayısıyle de fidye ödemeden bu işi çözmek istiyorum.
Bu arada ShadowExplorer ve Recuva dışında bu iki programa benzer yani kopya dosyaları verip o dosyaları düzelten başka program bulamıyorum, 1 aydır deli gibi arıyorum, sizin mutlaka bu konuda bir bilginiz vardır diye sormuştum.
Üye olup forum bölümüne soru sorabilirsiniz.
https://www.cozumpark.com/community/security-4/