Creación de una instantánea con el contexto "Copia de seguridad" en una PowerShell
backup wmi (1)
Su sombra $ tiene un valor de devolución de 5 en el mensaje de error, su ID de sombra tiene todos los ceros, debe agregar un 1 o un 2 al final de la copia sombra de volumen en el registro mediante binario o dword.
encuentre la carpeta en el registro llamado volsnap en su búsqueda regedit .volsnap.sys se encuentra en el directorio C: / Windows / System32 / drivers. El tamaño del archivo es de 52,352 bytes. El archivo volsnap contiene la firma digital de Microsoft. Asegúrese de que son los bytes correctos.
Esto confirma su autenticidad. volsnap.sys parece ser un archivo comprimido por un EXE-Packer. Esta técnica es utilizada a menudo por los troyanos para mantener el tamaño del archivo pequeño y también obstaculizar los esfuerzos de depuración.
Sin embargo, esto en sí mismo no es razón suficiente para presumir intenciones maliciosas, ya que incluso los productores de software profesionales bien intencionados aprovechan los archivos comprimidos. Por esta razón, el 2% de todos los expertos consideran que este archivo es una posible amenaza. La probabilidad de que pueda causar daño es alta. Por favor, considere los Comentarios adicionales de otros usuarios.
ID de sombra predeterminado 00000000-0000-0000-0000-000000000000 00000000-0000-0000-0000-000000000005
si ya tiene un 5 que probablemente no lo cambie a 1
o crea un nuevo código
Shadow id $ shadow 00000000-0000-0000-0000-0000000000001
no exactamente como se muestra.puede tener que intentar redacción diferente no estoy seguro si $ va a funcionar. si no, prueba la versión js independiente.
Estoy en el proceso de escribir un script de PowerShell para hacer una copia de seguridad de una computadora con Windows utilizando rsync. Para este fin, estoy intentando utilizar WMI desde dicho script para crear una copia Shadow no persistente con participación del escritor (como aparentemente se recomienda para copias de seguridad).
Descubrí a partir de otra pregunta ( Acceder a instantáneas de volumen instantáneas (VSS) de powershell ) una forma de crear una instantánea en general, pero el ejemplo dado allí utiliza "ClientAccessible" como el parámetro de contexto, que da como resultado la creación de una persistente Shadow Copy, sin participación del escritor.
Mientras buscaba una solución, descubrí que podía usar el siguiente comando para obtener una lista de contextos, que supongo que WMI entiende:
Get-WmiObject win32_shadowcontext | Out-GridView
No tiene un contexto llamado "Copia de seguridad", que es convenientemente lo que quiero. Procedí a intentar crear una instantánea no persistente usando ese contexto:
$shadow = (Get-WmiObject -list win32_shadowcopy).Create("C:/", "Backup")
Sin embargo, esto parece fallar y el contenido de la variable $ shadow está configurado para
ReturnValue : 5
ShadowID : {00000000-0000-0000-0000-000000000000}
De acuerdo con la documentación relevante ( método Create de la clase Win32_ShadowCopy ), el valor devuelto significa "contexto de copia oculta no admitida".
No pude encontrar ninguna documentación relevante sobre por qué este contexto no es compatible o si es posible usarlo en absoluto. También probé los contextos "FileShareBackup" y "AppRollback" sin éxito.
Supongo que me falta algo obvio, o que por alguna razón, WMI realmente no admite nada más que "clientAccessible" al crear instantáneas, o que esto depende del sistema operativo (estoy probando esto en Windows 7, 64-bit )
¿Cómo puedo hacer que esto funcione?