Windows注册表文件影子副本

Question

我需要找到磁盘上的所有Windows注册表文件，包括来自Windows影子副本的备份注册表数据。问题是我不知道这些文件的位置。

在网上我发现了这个命令 vssadmin list shadowstorage 但它返回我这个

For volume: (C:)\\?\Volume{ba406d28-f092-11dc-b3d7-806e6f6e6963}\

Shadow Copy Storage volume: (C:)\\?\Volume{ba406d28-f092-11dc-b3d7-806e6f6e6963}\

这是什么？那些文件真的位于哪里？我如何访问它们？如果我在一开始就用“regf”幻数扫描硬盘驱动器中的二进制文件，是否足以查找所有注册表数据？

ADDED

我创建的快捷方式上一个备份文件夹的文件夹属性（以前的版本） 下面是快捷方式所指向

\\localhost\C$\@GMT-2012.04.12-00.13.21\Windows\System32\config

看起来它包含的备份文件，但是否有可能将其作为普通目录进行访问？我如何在硬盘上找到这些目录？

在此先感谢。

Answer 1

运行vssadmin list shadows（不 shadowstorage）

您将收到卷影副本列表与在其他信息的路径，每个。路径是这样的：

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 

使用路径作为替代到货量信是这样的：

CreateFileW(L"\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy1\\Windows\\System32\\config\\SYSTEM", GENERIC_READ, 
FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE, NULL, OPEN_EXISTING, 0, NULL);