Son zamanlarda başımıza problem olan Cryptolocker virüsüne çare olarak düşünülebilecek bir yöntemde Shadow Copy yedeklerinden geri dönmek. Eğer Shadow Copy servisiniz işletim sisteminizde açıksa (Windows 7'de otomatik olarak geliyor, bu yazıda bu işletim sistemini kullanacağım.) ve zararlı yazılım bu yedeklerinizi silmemişse kolayca geri dönebiliyorsunuz. Shadow Copy yalnızca Cryptolocker virüsünden geri dönmek değil, sızma testleri sırasında da işlemleri kolaylaştırıyor. Güvenlik testlerinde de shadow copy'i kullanarak veri çekebilirsiniz.
İşlerin çoğunda System yetkisi gerekiyor, bu yüzden PsExec'i kullanabilirsiniz.
Sistem yetkisi kazanmak için https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx adresinden PsExec'i indirip aşağıdaki komutu kullanarak işletim sisteminde System yetkisi kazanabilirsiniz.
```
C:Usersk7-32Desktop>PsExec.exe -i -s cmd
```
Shadow Copy Nedir ?
Shadow Copy Windows'un yedeklemek için kullandığı teknolojinin adıdır. Aynı zamanda Volume Snapshot Servis olarakta bilinir.
Shadow Copy Alınmış mı ?
```
C:Windowssystem32>vssadmin list shadows
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2005 Microsoft Corp.
Contents of shadow copy set ID: {833e8bde-300c-4ccf-8eb1-67b929b0b131}
Contained 1 shadow copies at creation time: 4/9/2015 9:53:07 PM
Shadow Copy ID:{13bded53-7779-4858-b631-a8008b3d31f2}
Original Volume: (C:)\?Volume{4f23a615-df3c-11e4-9dfa-806e6f6e6963}
Shadow Copy Volume: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
Originating Machine: k7-32-PC
Service Machine: k7-32-PC
Provider: 'Microsoft Software Shadow Copy provider 1.0'
Type: ClientAccessibleWriters
Attributes: Persistent, Client-accessible, No auto release, Differentia
```
Gördüğünüz gibi sistemde bir Shadow Copy mevcut. Eğer olmasaydı Shadow Copy oluşturmak için aşağıdaki komutu kullanabilirsiniz.
```
vssadmin create shadow /for=C:
```
Shadow Copy Yedeklerini Mount Etmek
Yedeklerin içerisinde gezmek ve Shadow Copy yedeklerinden bir dosya almak için mount edebiirsiniz. Globalroot ile başlayan dizin bilgisini C'nin altında SC_test klasörüne mount edelim.
```
C:Windowssystem32>mklink /D C:SC_Test \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
symbolic link created for C:SC_Test <<===>> \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
```
Bu makale 0xnur tarafından yazılmış veya yayınlanmıştır.