创建还原点时,Windows开始监视卷,并且所有更改都记录在System Volume Information文件夹内的专有diff文件中。
彻底的VSS-SDK api,我们可以公开该卷,但它向我们展示了自创建快照以来已经或未经过修改的整个卷和所有文件/文件夹,以及访问任何文件,过滤器 - 如果需要,驱动程序应用diff,并向我们显示文件。
我的问题:是否可以列出所有已修改的文件,相对于还原点(除了暴力方法来比较阴影卷和主卷中的每个文件)?
当我们单击文件属性中的先前版本选项卡时,Windows如何执行此操作?
答案 0 :(得分:3)
利用NTFS Change Journal。 Windows将所有更改记录到日志数据库中NTFS卷上的所有文件(如果日志已打开)。可以查询此信息以从特定的起始USN编号(恢复点)返回所有更改
以下是an article关于在实施变更日志功能时帮助我很多的期刊
答案 1 :(得分:1)
要检测当前文件系统与卷影副本的更改,您可以使用第三方软件(如WinMerge)和卷影副本UNC路径 http://winmerge.org/。这将提供用于比较的GUI
例如,使用“C:\”,vs“\ localhost \ C $ \ @ GMT-2017.08.24-18.07.46”
当然,输入一个有效的UNC路径以与影子副本的日期和时间一致。
答案 2 :(得分:0)
我猜最好的方式是蛮力,加上USN数字比较作为参考,类似问题的链接是here
答案 3 :(得分:-1)
Windows从修改后的属性日期知道。它比较两个文件并检查修改日期。