Montar un punto de restauración en Windows 7 sin alterar nuestro windows, ¿ espiar ?

Vamos a intentar ver carpetas o directorios con contenidos que ya han sido borrados de nuestro disco duro utilizando la propiedad de restaurar sistemas de Windows 7, pero sin llegar a restaurar el sistema y evitando perder la configuración actual.

No es solo propietario de este sistema, tambíen lo tienen windows server 2008, windows vista, windows XP service pack 2 y me faltaría probar en windows server 2003.

Todos sabemos que nuestro sistema puede volver a un estado anterior o lo que es lo mismo, volver a como estaba en un punto determinado, pues bien vamos a ver de que nos puede servir… para espiar que narices …

Windows cuando crea automáticamente un punto de restauración, lo que esta haciendo es una copia de los cambios que realizamos en el disco duro (volumen), no de todo el disco completo (imagen) y a este tipo de copia se llama copia incremental o instantánea de copia (shadow copy para los ingleses).

Este tipo de copia solo tiene privilegios de lectura y gracias a estos privilegios se mantiene en el tiempo inalterable, mientras que la original (la que usamos) tiene privilegios de lectura y escritura, por lo tanto se va alterando.

No se ahora mismo de memoría cuantos megas puede dedicar nuestro disco duro para esta tarea pero anda rondando los 400 megas y 64 instantaneas o puntos de restauración, cuando se llega al total se empiezan a borrar desde la más antigüa en adelante.

Hace poco, detectamos que unos de nuestros clientes, no estaba realizando las copias de seguridad como debería hacerlas, el problema era un valor booleano que impedia hacer esta cuenta bien, lo tipico, actualización al server y solucionado, aunque era un parche que acababa de publicar Microsoft, precisamente por las quejas de este error, pero eso es otra historia.

A lo que ibamos, vamos a usar la herramienta que viene por defecto en ms-dos para ver las instantáneas que tenemos. (VSSADMIN)

Ejecutemos:

C:\Windows\system32>vssadmin list shadows

vssadmin 1.1 – Herramienta administrativa de línea de comandos del
Servicio de instantáneas de volumen. (C) Copyright 2001-2005 Microsoft Corp.

Contenido de id. de conjunto de instantáneas: {b2d5c972-90e9-401e-b0e8-5d2861d0
1c93}
Contenía 1 instantáneas en el momento de su creación: 14/01/2012 22:37:18
Id. de instantáneas: {35202fa2-6b93-4c26-8e3a-8d474718c33b}
Volumen original: (C:)\\?\Volume{10311c5d-2a91-11e1-af87-806e6f6e6963}\

Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy
1
Equipo de origen: Orobudo
Equipo de servicio: Orobudo
Proveedor: ‘Microsoft Software Shadow Copy provider 1.0’
Tipo: ClientAccessibleWriters
Atributos: Persistente, Accesible para el cliente, Sin liberación autom
ática, Diferencial, Recuperado automáticamente

Contenido de id. de conjunto de instantáneas: {a9a8209d-3fae-40a5-bcea-e015ee14
98d2}
Contenía 1 instantáneas en el momento de su creación: 15/01/2012 19:20:18
Id. de instantáneas: {b25b7d7e-f5a5-4e97-8112-04dc1f2a031f}
Volumen original: (C:)\\?\Volume{10311c5d-2a91-11e1-af87-806e6f6e6963}\
**************RESULTADO OMITIDO****************************************************

FIN DE LA EJECUCIÓN DEL COMANDO VSSADMIN

Este es el resultado de dos fechas distintas de copias de seguridad automáticas 14/01/2012 22:37:18 y 15/01/2012 19:20:18 (solo con tener restaurar archivos ya esta activada, por defecto ya tiene ese estado), aunque hemos omitido parte de la segunda.

Para la tarea actual vamos a usar otra herramienta de línea de comandos (DOSDEV.EXE), esta vez la tenemos que descargar, por ejemplo de aquí: http://sourceforge.net/projects/vscsc/files/utilities/dosdev.zip/download

Con esta herramienta podemos montar una shadow copia o un punto de restauración como si fuera un disco duro, sin falta de tocar lo actual podemos «»»»investigar»»»» que había en las carpetas en ese momento.

Ahora utilizaremos uno de los datos devueltos por el comando anterior.
Ejemplo y EJECUCIÓN:
C:\Windows\system32>dosdev v: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
v:: La operación se completó correctamente.

Ahora ya tenemos la unidad V apuntando a nuestro punto de restauración o dicho de otro modo ya tenemos nuestro punto de restauración montado.

C:\Windows\system32>dir v:
El volumen de la unidad V no tiene etiqueta.
El número de serie del volumen es: 36C6-4A2B

Directorio de V:\

20/12/2011 00:51 156 csb.log
20/12/2011 01:05 inetpub
23/12/2011 09:19 189 Install.log
14/07/2009 04:20 PerfLogs
07/01/2012 14:26 Program Files
07/01/2012 16:11 Program Files (x86)
20/12/2011 01:43 Q-ShareFolder
23/12/2011 09:14 3.236 RHDSetup.log
15/01/2012 19:09 144 service.log
19/12/2011 23:59 Users
27/12/2011 19:16 utilidades
21/12/2011 23:24 Web
06/01/2012 23:01 Windows
4 archivos 3.725 bytes
9 dirs 727.465.099.264 bytes libres

En resumen, ejecutamos la herramienta dosdev, como si mapearamos una unidad de red y a continuación con un dir de la nueva unidad en mi caso «V», puedo ver los directorios sin problema.

No lo hagáis en el ordenador de vuestros novios y novias, puede ser que encontréis algo que no os guste en archivos recibidos …

Este post se lo dedico a los alumnos del turno de mañana, con los que he finalizado las clases.