Muchas veces es necesario contar con momentos específicos en el tiempo de ciertos dispositivos o medios, ya sean discos duros o medios extraíbles, etc, y es posible almacenar copias exactas de ellos que permitan regresar a un momento preciso en el pasado.

Un ejemplo, buscamos realizar estas tareas de protección de sistema utilizando una USB conectada localmente. La protección del sistema en BackupAssist utiliza un motor de imagen de Microsoft Windows a través de la herramienta de línea de comandos webadmin y la creación de volume shadow copy.

Una carpeta ‘WindowsImageBackup’ se crea en la raíz de una unidad de destino y esta carpeta contiene una subcarpeta de fecha. Este contendrá entre otras cosas, los archivos VHD individuales para cada disco lógico que se copia. Estos archivos VHD son imágenes de disco completo que representan la última copia de seguridad. Es estas imágenes que luego se actualiza con los cambios posteriores.

Introducción a copias de Shadow Copy

Con el fin de mantener copias de seguridad de manera histórica y poder trabajar con versiones previas de la información y funcionamiento de dispositivos es posible usar el servicio de Windows para crear copias ocultas.
A pesar de que estos términos se refieren a copias, debemos pensar en ellas como si se tratasen de archivos individuales. Estos archivos permiten rastrear todos los cambios generadores en los discos y permiten copias completas históricas a través del tiempo.

De esta manera, cuando desee acceder a estos datos y concentrarse en un punto específico en el tiempo, sólo tiene que montar la imagen instantánea correspondiente para acceder a los archivos y carpetas contenidos en la copia de seguridad.

Las ventajas son:

  • Ocultar elementos Malware en el Sistema, lejos de los “ojos” del Administrador del Sistema.
  • Acceder a los archivos protegidos del Sistema Operativo, como por ejemplo: SAM, SYSTEM, NTDS.DIT, etc, de forma que se pueden extraer de forma “segura” dichos ficheros sin hacer ruido.
  • Encontrar archivos antiguos, que fueron eliminados hace tiempo por el Administrador, como por ejemplo, listas de password.

En particular, unas de las curiosidades que tienen los Volume Shadow Copy es que el sistema AV (Antivirus) no tiene acceso a dichas particiones por lo que los ficheros con Malware que añadimos al volumen son indetectables. Sin embargo, si accedemos al volumen y ejecutamos el fichero, el sistema AV en tiempo real detectaría el “Malware”

Es importante tomar en cuenta que cada conjunto de copias depende tanto el archivo VHD principal y todos los conjuntos de shadow copy o copias ocultas más nuevas desde el punto que desea recuperar (los mayores de ese punto son irrelevantes).
En pocas palabras – es un poco como la selección de un punto en el tiempo y luego pulsar el botón de deshacer con el fin de revertir los cambios del disco hasta ese momento.

¿Dónde se almacenan los shadow copy?

Por defecto, no se pueden ver las shadow copy ya que están ocultas en la ruta de copia de seguridad, pero con los siguientes pasos es posible encontrarlos:

  • Habilitar carpetas ocultos en la unidad de destino.
  • Vaya a la carpeta “System Volume Information” en la raíz.
  • Clic derecho y debajo de propiedades cambie la configuración de seguridad para agregar control completo para el grupo de administradores (u otro usuario de Windows correspondiente).

Esto debería permitirle abrir la carpeta y ver los archivos que contiene …
Pero por sí solos no son muy útiles …

Montaje de un archivo de instantánea para ver su contenido

Con el fin de utilizar las shadow copy y montar instantáneas históricas es necesario ejecutar algunas herramientas en la línea de comandos.
La herramienta de comandos vssadmin se puede utilizar para enumerar los conjuntos de copia de sombra disponibles en una unidad específica mediante la introducción de la siguiente como un símbolo elevado …
vssadmin list shadows /FOR=G:
En este ejemplo, se esperaría que el comando para devolver una lista de conjuntos de copia espectáculo presentes en la unidad G: (nuestra unidad de copia de seguridad USB). Esto puede devolver un poco de datos por lo que es a menudo más fácil de enviar el resultado a un archivo de texto para que se pueda ver con un editor de texto como el Bloc de notas.

vssadmin list shadows /FOR=G: > G:\list-of-show-copy-sets.txt
Al abrir este archivo se puede ver claramente todos los conjuntos de shadow copy que se encuentran …

La hora de creación de cada conjunto muestra de qué momento la instantánea fue creada y con una identificación y copias únicas.

Así como un ejemplo, digamos que quiero acceder a la siguiente instantánea tomada el 20 de septiembre de 2015 04:01:29 am …

Contents of shadow copy set ID: {7e87ba54-01a1-4057-97f1-472114a0b192}
Contained 1 shadow copies at creation time: 20/10/2015 04:01:29
Shadow Copy ID: {31a9f876-c358-48a0-8905-d66db6ab70f9}
Original Volume: (G:)\\?\Volume{92e64469-43e8-11e0-a61c-a4badbfca2e6}\
Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy73
Originating Machine: HyperV-1
Service Machine: HyperV-1
Provider: ‘Microsoft Software Shadow Copy provider 1.0’
Type: DataVolumeRollback
Attributes: Persistent, No auto release, No writers, Differential

Ahora es necesario utilizar el siguiente comando para crear un enlace simbólico para una nueva carpeta en la unidad C:
mklink /d c:\snapshot-id-73 \\?\GLOBALROOT\Device\HardDiskVolumeShadowCopy73\

Esto creará un nuevo acceso directo en la raíz de la unidad C que apunta directamente a esta instantánea montada (como se puede ver que hemos nombrado la carpeta “foto-id-73 ‘). De esta manera, es posible utilizar el Explorador de Windows para profundizar en la instantánea y encontrar los archivos que se requieren de él.
No se olvide que una vez que haya terminado de acceder a la instantánea que debe eliminar el enlace simbólico! Usted puede hacer esto simplemente eliminarlo en Windows File Explorer

¿No es fan de la línea de comandos?

Recientemente encontramos una buena herramienta de pequeñas ventanas llamado VSC conjunto de herramientas o VSC toolset que proporciona una gran, simple y eficaz manera demostrar todos los conjuntos de instantáneas y seleccionar rápidamente en uno o más para enlazar y navegar con facilidad. Además permite identificar los volúmenes existentes, y navegar por el sistema de ficheros de dichos volúmenes se necesita permisos de administrador para poder realizar dicha navegación. Es una interfaz GUI para los comandos nativos del Sistema Operativo, como podréis comprobar en la captura de pantalla siguientes.

Puede sonar un poco complejo para empezar, sin embargo, estos son realmente los fundamentos de la copia de seguridad de Windows por lo que este material bien vale la pena.

Proteger el sistema siempre requiere de medidas correspondientes en este caso para regresar a imágenes históricas, las shadow copy de Windows permiten crear volúmenes en Windows a través de BackupAssist y asegurar que cualquier día podrás estar preparado y presionar el botón deshacer de tu dispositivo y regresar a una fecha anterior.

BackupAssist-9-box

DESCARGA UNA PRUEBA GRATUITA DE 30 DÍAS

descarga-gratis-BA

Recent Posts