題 Windows系統還原完全備份和還原的是什麼?


我只需要在受某些惡意軟件或病毒感染的Windows XP計算機上進行系統還原。除此之外,病毒已隱藏所有驅動器上的所有文件和文件夾,刪除了開始菜單中的所有快捷方式,並以某種方式消隱並鎖定桌面。手動修復一些東西(但不是桌面問題)我想到了系統還原。 執行系統還原成功並修復了桌面問題。

但這給我留下了一些問題:

  • 系統還原究竟是什麼還原而不是還原?
  • Windows XP和Windows Vista / 7系統還原之間是否存在顯著差異?

編輯:我一般都知道系統還原還原的是:Windows配置而不是文件。我感興趣的是更詳細的信息,比如它還重置文件的元屬性(如只讀,隱藏),如果它恢復程序恢復程序的哪些部分(只有.exe文件,或者'應用程序中的相關文件'數據',...?),...


20
2017-10-05 06:02


起源




答案:


恢復:

  • 註冊表(注意:一些當前值將持續存在)
  • 配置文件(本地唯一漫遊用戶配置文件不受還原影響)
  • COM + DB
  • WFP.dll緩存
  • WMI DB
  • IIS Metabase
  • 帶有擴展名的文件 受監視的文件擴展名列表 

沒有恢復

  • DRM設置
  • SAM配置單元(不恢復密碼)
  • WPA設置(不恢復Windows身份驗證信息)
  • “我的文檔”文件夾的內容
  • 中列出的特定目錄/文件 受監視的文件擴展名列表 
  • 任何擴展名未在中列出的文件 受監視的文件擴展名列表 
  • 兩者中列出的項目 Filesnottobackup 和 KeysnottoRestore   (HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore
  • 用戶創建的數據存儲在用戶配置文件中
  • 重定向文件夾的內容

10
2017-10-25 18:24



不確定這是否屬實。我做了系統還原但失敗了,但仍然修改了我的文檔的內容,撤消了文件夾名稱更改和刪除文件等。 - endolith
受監視的文件擴展名列錶鍊接已斷開。 - Drew Chapin
@DrewChapin:該網站目前正在關閉。 這一頁 包括受監控文件擴展名的官方列表。 - Mehper C. Palavuzlar


如果您在病毒感染期間將計算機恢復到某一點,則可能會重新引入病毒。看到 防病毒軟件和系統還原如何協同工作 詳情。


關於系統還原處理的文件, 微軟 說 -

系統還原可以更改Windows系統文件,註冊表   您的計算機上安裝的設置和程序。它也可以   更改腳本,批處理文件和其他類型的可執行文件   在你的電腦。個人文件,如文件,電子郵件,照片,   和音樂文件,不會改變。


1
2017-10-05 06:15



那麼,關於系統恢復,恢復,回答的問題:病毒有時:-) - Psycogeek
幾個星期前我採取了恢復點來最小化病毒問題,我在恢復後檢查了病毒。關於你的答案,我正在尋找比微軟模糊描述更詳細的信息(即'..可以製作......'是什麼意思?) - Rabarberski


系統還原是Microsoft的Windows Me,Windows XP,Windows Vista和Windows 7的組件,但不是Windows 2000,允許將系統文件,註冊表項,已安裝的程序等回滾到以前的狀態的操作系統。系統故障或失敗的事件。

在“系統還原”中,用戶可以手動創建新還原點,回滾到現有還原點或更改“系統還原”配置。此外,恢復本身可以撤消。丟棄舊的還原點,以便將捲的使用量保持在指定的量內。對於許多用戶來說,這可以提供過去幾週的恢復點。關注性能或空間使用的用戶也可以選擇完全禁用系統還原。永遠不會備份或還原存儲在不受“系統還原”監視的捲上的文件。

系統還原備份某些擴展(.exe,.dll等)的系統文件並保存它們以供以後恢復和使用。它還備份了註冊表和大多數驅動程序。


0
2017-10-05 06:37



感謝您的回答。但是,我正在尋找更詳細的信息(具體是哪個文件擴展名,哪些文件夾(所有這些?),哪些驅動程序,...)。 - Rabarberski
諸如重要係統文件和.dll之類的文件,諸如system32之類的文件夾,以及諸如芯片組,圖形,音頻,lan驅動程序之類的驅動程序。 - Random Guy


在虛擬機的這些日子裡,任何有虛擬機(也許是ypu嗎?)的人都會這麼做。不幸的是我!但任何與他們在一起的人都可以做一個測試。您將各種擴展的文件放在各種目錄中,進行系統還原,看看文件是否消失。我很久以前做過測試,但沒有我做的筆記。我知道windows xp c:\ program files和用戶配置文件以及桌面都處於危險目錄中,某些新文件(可能只有某些擴展名)將從那裡消失。還有程序文件子目錄中的文件。 exe文件會消失。您在root中創建的任何目錄,如c:\ sdfsf,絕對是好的/單獨保留。毫無疑問,你的註冊表被推遲了

在xp中,它表示“該過程不會導致您丟失已保存的文檔或工作,並且完全可逆”。也許他們逃脫了這條消息,因為他們說這是可逆的!我不記得它是否刪除了桌面上的“新”TXT,這不會讓我感到驚訝。它確實刪除了“新的”EXE。新的我的意思是自恢復以來。

EXE絕對是一個牠喜歡從它想要刪除的目錄中刪除的文件類型。它也可能刪除整個目錄,我不記得,但值得一試,你可能會發現在c:\ program files中創建的任何新目錄都被刪除了。

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx “以下是受監控文件擴展名列表。具有這些擴展名的文件由Windows Vista及更高版本中的系統還原監視。在Windows XP中監視或排除監視的文件在%windir%\ system32 \文件中指定restore \ Filelist.xml。Windows Vista及更高版本中不存在Filelist.xml文件。“

(這是一個很長的清單,對我來說複製/粘貼它可能不是一個好主意)


0
2017-10-05 07:49



對不起,但你的回答非常“有條件” - Rabarberski
如果你自己做過測試,我強烈建議用那裡的EXE文件測試c:\ program files和桌面。在XP中你肯定會發現那裡的EXE被刪除了。 - barlop