Что восстанавливает и восстанавливает Windows System Restore?

Я просто должен был выполнить восстановление системы на компьютере под управлением Windows XP, зараженном некоторыми вредоносными программами или вирусами. Помимо всего прочего, вирус скрывал все файлы и папки на всех дисках, удалял все ярлыки в меню «Пуск» и как-то заглушил и заблокировал рабочий стол. После исправления некоторых вещей вручную (но не на рабочем столе) я подумал о System Restore. Выполнение восстановления системы было успешным и также устранило проблему с рабочим столом.

Но это оставило мне вопросы:

  • Что именно восстанавливает и восстанавливает восстановление системы?
  • Существуют ли заметные различия между Windows XP и Windows Vista / 7 Восстановление системы?

Изменить : я знаю, что восстановление системы восстанавливается: вы конфигурация Windows, но не ваши файлы. Я интересуюсь более подробной информацией, например, он также сбрасывает мета-свойство файлов (например, только для чтения, скрыто), если он восстанавливает программы, какие части программы восстанавливаются (только файл .exe или связанные файлы в приложении данные', …?), …

    Восстановлен

    • Реестр (обратите внимание: некоторые текущие значения сохранятся)
    • Профили (локальные только перемещаемые пользовательские профили, на которые не влияет восстановление)
    • COM + DB
    • Кэш WFP.dll
    • БД WMI
    • Метабаза IIS
    • Файлы с расширениями, перечисленными в списке Monitored File Extensions

    Не восстановлено :

    • Настройки DRM
    • SAM (не восстанавливает пароли)
    • Параметры WPA (информация о проверке подлинности Windows не восстанавливается)
    • Содержимое папки (ов) «Мои документы»
    • Конкретные каталоги / файлы, перечисленные в списке Monitored File Extensions
    • Любой файл с расширением, не указанным в списке Monitored File Extensions
    • Элементы, перечисленные в Filesnottobackup и KeysnottoRestore ( HKLM->System->ControlSet001->Control->BackupRestore->Filesnottobackup and keysnottorestore )
    • Пользовательские данные, хранящиеся в профиле пользователя
    • Содержимое перенаправленных папок

    Ссылка: mvps.org

    Если вы восстановили компьютер до определенной степени во время вирусной инфекции, возможно, вы повторно ввели вирус. См. Сведения о совместной работе антивирусного программного обеспечения и восстановления системы .

    Что касается файлов, с которыми работает система восстановления, Microsoft говорит –

    Восстановление системы может вносить изменения в системные файлы Windows, параметры реестра и программы, установленные на вашем компьютере. Он также может вносить изменения в сценарии, командные файлы и другие типы исполняемых файлов на вашем компьютере. Личные файлы, такие как документы, электронная почта, фотографии и музыкальные файлы, не изменяются.

    Восстановление системы – это компонент Microsoft Windows Me, Windows XP, Windows Vista и Windows 7, но не Windows 2000, операционные системы, которые позволяют откатить системные файлы, ключи реестра, установленные программы и т. Д. До предыдущего состояния в Событие сбоя системы или сбоя.

    В System Restore пользователь может создать новую точку восстановления вручную, вернуться к существующей точке восстановления или изменить конфигурацию восстановления системы. Более того, само восстановление можно отменить. Старые точки восстановления отбрасываются, чтобы сохранить использование тома в указанной сумме. Для многих пользователей это может обеспечить точки восстановления, охватывающие последние несколько недель. Пользователи, занимающиеся эксплуатацией или использованием пространства, также могут полностью отключить восстановление системы. Файлы, хранящиеся на томах, которые не контролируются системой Restore, никогда не копируются и не восстанавливаются.

    Восстановление системы создает резервные копии системных файлов определенных расширений (.exe, .dll и т. Д.) И сохраняет их для последующего восстановления и использования. Он также поддерживает резервную копию реестра и большинства драйверов.

    В эти дни виртуальных машин, кто-нибудь, что -has-виртуальные машины (возможно, ypu делать?) Больше всего. Я не несчастливо! Но кто-то с ними может сделать тест. Вы помещаете файлы различных расширений в различные каталоги, восстанавливайте систему, смотрите, исчезли ли файлы. Я давно пробовал, но у меня нет заметок, которые я сделал. Я знаю, что с windows xp c: \ программными файлами и профилем пользователя, а также на рабочем столе находятся каталоги риска, из него исчезнут некоторые новые файлы (возможно, только определенные расширения). И файлы в подкаталогах программных файлов. Exe-файлы исчезнут. Любой каталог, который вы создаете в корне, например c: \ sdfsf, определенно отлично / оставлен в покое. Без сомнения, реестр youre оттеснен

    В xp говорится: «этот процесс не заставляет вас потерять сохраненные документы или работать и полностью обратим». Возможно, они уходят с этим сообщением, потому что говорят, что это обратимо! Я не помню, если он удаляет «новые» TXT на рабочем столе, это меня не удивит. Он удаляет «новые» EXE. Под новым я имею ввиду с момента восстановления.

    EXE – это, безусловно, тип файла, который ему нравится удалять, из каталогов, которые ему нравится удалять. Он также может удалить целые каталоги, но я не помню, но стоит попробовать, вы можете найти любой новый каталог, созданный в c: \ program files.

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa378870(v=vs.85).aspx "Ниже приведен список контролируемых расширений имен файлов. Файлы с этими расширениями контролируются системой Восстановить в Windows Vista и более поздних версиях. Файлы, которые контролируются или исключаются из мониторинга в Windows XP, указаны в файле% windir% \ system32 \ restore \ Filelist.xml. Файл Filelist.xml не существует в Windows Vista и более поздних версиях. "

    (Это длинный список, может быть, не очень хорошая идея для копирования или вставки)

    Давайте будем гением компьютера.