Wie listet man alle modifizierten Dateien in einem Shadow-Volume auf?

Question

Wenn ein Wiederherstellungspunkt erstellt wird, beginnt Windows mit der Überwachung des Volumes und alle Änderungen werden in einer proprietären Diff-Datei im Ordner "System Volume Information" aufgezeichnet.

Gründliche VSS-SDK-API, wir können das Volume angeben, aber es zeigt uns das gesamte Volume und alle Dateien/Ordner, die seit der Snapshot-Erstellung oder seit dem Zugriff auf eine Datei einen Filter haben -driver wendet das diff bei Bedarf an und zeigt uns die Datei an.

Meine Frage: Ist es möglich, alle geänderten Dateien in Bezug auf einen Wiederherstellungspunkt aufzulisten (außer der Brute-Force-Methode, um jede Datei im Shadow-Volume und im Haupt-Volume zu vergleichen)?

Wie macht es Windows, wenn wir auf die Registerkarte der vorherigen Versionen in den Eigenschaften einer Datei klicken?

Answer 1

Ich denke, der beste Weg, Brute-Force, gepaart mit USN-Nummer-Vergleich als Referenz, der Link auf eine ähnliche Frage ist here

Answer 2

Windows aus den Attributen bekannt Datum geändert. Es vergleicht die beiden Dateien und überprüft das Änderungsdatum.

Answer 3

Nutzen Sie die NTFS Change Journal IS. Windows protokolliert alle Änderungen an allen Dateien auf einem NTFS-Volume in einer Journaldatenbank (wenn das Journal aktiviert ist). Zur Erkennung von Änderungen in der aktuellen Datei Dies kann abgefragt werden, um alle Änderungen von einer bestimmten Start USN-Nummer zurückzukehren (Wiederherstellungspunkt)

Hier ist an article über die Zeitschrift, die mich sehr geholfen, während Änderungsjournal Funktionalität

Answer 4

Umsetzung System vs eine Schattenkopie, können Sie eine Software von Drittanbietern wie WinMerge mit der Schattenkopie UNC Pfade http://winmerge.org/ verwenden. Dies wird eine GUI für Vergleiche

Zum Beispiel bieten, verwenden Sie "C: \", gegen "\ localhost \ C $ \ @ GMT-2017.08.24-18.07.46"

Natürlich geben Sie eine gültige UNC-Pfad mit dem Datum und der Uhrzeit einer Schattenkopie übereinstimmen.