ComputerBase Menü
Aktuelles

Windows 8.1 Bild wiederherstellen aus Volumenschattenkopie / File History

M80331

M80331

Lieutenant
Registriert
Juli 2009
Beiträge
736
Hallo Leute,

da ist mir doch ein kleiner Anfängerfehler passiert.
Wollte heute Bilder die ich gestern von der Digitalkamera runter kopiert habe in meine Datensicherung packen.
(auf der Kamera sind sie mittlerweile nicht mehr drauf)
Vorher kurz die Bilder aussortieren die nix geworden sind, brauche ich ja nicht mehr.

Dabei fiel mir ein Bild auf wo ich mir dachte "Mensch, gleich mal bei Facebook posten".
Ich weiß, ich bin ja sonst nicht geltungsbedürftig, aber kurz gesagt:

Ich musste das Bild von seinen 4,5MB etwas verkleinern, hab da MS Office 2010 Picture Manager genommen, war das erst beste, das Bild auf 20% verkleinert und *bäm* "speichern" statt "speichern unter" gedrückt.

Jetzt hab ich nur noch dieses kleine Bildchen und nicht mehr die hochauflösende Version.

Kurz nachgeschaut, da gibts ja gar kein "vorherige Version" von Datei wie man es bei Volumenschattenkopien kennt.

Nach kurzer Recherche, ich kann mich auch irren, fand ich raus dass es das so bei Windows 8.1 nicht gibt, oder ab Werk nur ohne GUI.

Ich fand dann folgenden Artikel, ab dem Abschnitt über VssAdmin:
http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volume-shadow-copies-easy-way.html

Was ich also probiert habe war, im PowerShell:
Code: 
(Get-WmiObject -list win32_shadowcopy).Create("C:\","ClientAccessible")
Dann:
Code: 
vssadmin.exe list shadows

Ergab:
Code: 
Inhalte der Schattenkopiesatzkennung: {2324634f-02bc-4385-9542-de0372b9eec0}
   1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit:
         07.06.2016 17:06:33
      Schattenkopienkennung: {50c7f37d-c1cf-4e33-88e1-615e0119aa04}
         Ursprngliches Volume: (C:)\\?\Volume{4cd7db19-0805-440e-aac8-3667c17e386c}\
         Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
         Quellcomputer: Mein-PC
         Dienstcomputer: Mein-PC
         Anbieter: "Microsoft Software Shadow Copy provider 1.0"
         Typ: ClientAccessibleWriters
         Attribute: Permanent, Clientzug„nglich, Keine automatische Freigabe, Differenziell, Automatisch wiederhergestellt

Inhalte der Schattenkopiesatzkennung: {21dce7e6-9b17-403e-a67f-1237cb679893}
   1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit:
         09.06.2016 13:32:24
      Schattenkopienkennung: {a02c1627-c16e-42f1-8009-1585f9d11a56}
         Ursprngliches Volume: (C:)\\?\Volume{4cd7db19-0805-440e-aac8-3667c17e386c}\
         Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy6
         Quellcomputer: Mein-PC
         Dienstcomputer: Mein-PC
         Anbieter: "Microsoft Software Shadow Copy provider 1.0"
         Typ: ClientAccessible
         Attribute: Permanent, Clientzug„nglich, Keine automatische Freigabe, Keine Verfasser, Differenziell
Enthielt auch noch ältere Einträge.
Juhu, eine Version vom 07.06., da muss doch was gehen!

Ich habe das dann also gemountet mit:
Code: 
cmd /c mklink /D C:\myshadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\

Und siehe da, öffne ich über C:\myshadowcopy den Ordner wo die Bilder drin sind, sehe ich auch das versehentlich überschriebene Bild mit korrekten 4,5MB Größe.

Ich kann aber weder dieses noch andere Bilder darin öffnen.
Ich habe mir also dieses eine Bild woanders hin kopiert und versucht mit sämtlichen Programmen anzuzeigen.
Office Picture Manager, Windows Foto Anzeige, Paint, Chrome, alle sagen "geht nicht zu öffnen".

Dann IrfanView probiert, es sagt sinngemäß dass das Bild im Body keine Inhalte hat.
Habe es mit einem Hex Editor geöffnet, da sehe ich die (Exif?) Infos zum Bild, Aufnahmedatum, Kameratyp und alles sind da, weiter runter gescrollt besteht tatsächlich alles aus Nullen.

Das älteste im "vssadmin.exe list shadows" war vom 15.4., also muss dieses File History doch bereits aktiv sein irgendwie.

---

Ich habe ja all meine Bilder und Dateien, also kein Weltuntergang, aber der Fall mit diesem einzigen Bild hat mich stutzig gemacht:

was macht/kann dieses File History und wie kriegt man da etwas daraus extrahiert wenn es schon alles mit Thumbnail und Größe korrekt anzeigt?

Oder hab ich voll den Denkfehler? :/
 
Denkfehler? Ja. Gestern war der 8.6. Da hast du die Bilder von der Kamera auf die Platte kopiert. Jetzt gehst du an die Sicherung vom 7.6. ..

Waren die Bilder auf der Digicam per SD-Karte? Dann kannst du die SD-Karte per Recuva auslesen und das Bild wiederherstellen, wenn nicht überschrieben wurde.

lg
fire
 
Ironischer weise hast du mich auf einen ganz anderen Denkfehler aufmerksam gemacht.

Die Bilder wurden nicht gestern kopiert, sondern tatsächlich schon am 7.6. um ca. 9 Uhr, man verliert doch echt das Gefühl für Zeit nach so einem Festival wie RaR/RiP.

Anders hätte ich sie in dem Mountpoint gar nicht sehen können, da sie vom 3.6.-5.6. aufgenommen wurden und der Punkt zuvor vom 11.5. ist.

Diesen dummen weiteren Irrtum in meiner ursprünglichen Fragen mal bei Seite:

Wie kann ich, wenn ich da die Datei sehe, welche die korrekte Größe hat und Infos zum Kameratyp und Aufnahmedatum in sich, das Bild wieder herstellen?

Zur Info:
ich kann damit leben jetzt die Datei nur in einer kleineren Auflösung zu haben.
Aber nach nunmehr 14 Jahren in der IT tätig und jemand der Windows 8.1 bisher dennoch gemieden hat,
interessiert mich nun was diese Volumenschattenkopie wirklich kann oder File History oder wie auch immer.

Gibt's da noch ein Weg, oder finito?
 
Gute frage. Ich nutze die schattenkopien für Datensicherungen. Sei es extra Software oder Windows eigene. Damit kann ich alle Daten sichern, auch wenn sie aktiv genutzt werden. Sei es Windows selber oder auch Datenbanken.

Vermutlich brauchst du eher die versionierung, die mehrere Versionen einer Datei sichert. Hab die aber nie genutzt und wüsste grad den dienstnamen nicht dazu.
 
Ja eben, irgendwo stand dass das in 8.1 nicht die Schattenkopien sind wie man sie kennt.

In Systemsteuerung gibt es "Dateiversionsverlauf". Da kann man Laufwerke auswählen, Ordner ausschließen, und wieder herstellen, nur ist das gar nicht angeschaltet, dennoch sehe ich das (in dem Codeblock oben) und noch einige weitere Stände zurück bis Mitte April.

Habe jetzt ShadowExplorer ausprobiert, der zeigt mir auch genau diese Stände an und die Inhalte und Größen.

Weder dieses noch andere Bilder kann der jedoch wieder herstellen, sind einfach leer, genauso mit mp3's.

Probiere ich es mit html,js,nfo Dateien aus anderen Ordnern, die klappen.
Eine png ging ganz, eine andere nur zur hälfte (halbes Bild, Rest weiss).

Wohlbemerkt: ist eine 500GB SSD, bisschen mehr als 90% belegt und GPT.

Ist das das Ergebnis von "bereits überschrieben"? Dass es einfach nicht mehr geht, kann ich das so deuten?

Sollte Windows nicht aber das bei Schreibzugriffen merken und dann anfangen ältere Stände zu löschen?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz