Теневое копирование файлов (Volume Shadow Copy) в Windows — это механизм, который позволяет делать копии файлов, соответствующие определённому моменту времени, даже если они открыты или заблокированы системой. 2

Некоторые возможности теневого копирования:

• восстановление случайно удалённых и перезаписанных файлов; 2
• сравнение нескольких версий одного файла; 2
• восстановление информации, зашифрованной вредоносными программами. 3

Теневое копирование работает с помощью службы Volume Shadow Copy Service (VSS) и драйверов, которые позволяют выполнять копирование системных и заблокированных файлов. 3

Процесс создания теневой копии в Windows включает следующие шаги: 1

1. Инициатор отправляет запрос службе VSS, начиная процесс подготовки. 1
2. Модули записи определяют компоненты для копирования и передают информацию службе VSS. 1
3. Служба VSS уведомляет записывающие модули о начале процесса. 1
4. Записывающие модули завершают транзакции и подготавливаются к копированию. 1
5. Служба VSS временно приостанавливает запись данных на основной том для сохранения целостности информации. 1
6. Поставщик получает уведомление о начале операции и формирует копию в течение 10 секунд. 1
7. Запись данных на основной том возобновляется после завершения процесса копирования. 1
8. После успешного завершения операции служба VSS предоставляет информацию о расположении копий, доступных только для чтения. 1

Теневые копии обычно хранятся в скрытой папке System Volume Information, расположенной в корне диска. 4