Windows Shadow Copy Service (suomeksi Aseman tilannevedospalvelu, joskus myös ’varjokopio’) on kotikäyttäjien keskuudessa vähemmän tunnettu Windowsin ominaisuus, jolla luodaan palautuspisteitä vikatilanteiden korjauksiin. Puhdistusohjelmat, kuten CCleaner tai PrivaZer, eivät kykene poistamaan tilannevedoksia.
Tilannevedosten seurauksena syntyvä Shadow Volume sisältää myös henkilökohtaiset tiedostot ja www-selaushistorian. Se, mitkä tiedostot tallentuvat tilannevedokseen, riippuu asetuksista ja palautuspisteiden tiheydestä. Ohjeet tilannevedosten tuhoamiseen ja käytöstä poistamiseen löytyy tästä.
Levyn tilannevedoksia voidaan käyttää tiedostojen palauttamiseen tehokkaasti:
https://www.magnetforensics.com/volume-shadow-copy-forensics/
Tiivistys yllä olevasta: ”Since becoming available in Windows Vista, volume shadow copies have been a valuable resource for forensic investigators when examining a Windows PC. Volume shadow copy runs as a service (volume shadow service) that creates and maintains multiple historical snapshots of the volumes on a disk. Previously on Windows XP, System Restore provided a backup of the system files on a disk prior to a major update or installation but never backed up any user created files. Conversely, volume shadow copies allow the backup of all files on the volume, including user files. This provides a wealth of historical information on files and data that might have previously been deleted or lost.”
Voit itsekin selata Shadow Volume Copy -tiedostoja ilmaisen Shadow Explorer työkalun avulla – joskus tiedostojen määrä voi yllättää.
Windows 7/8/10 yksityisyyden suoja 