本文介绍了如何通过C++获取Windows系统的还原点列表。作者发现WMI无法获取数据,但系统程序rstrui.exe可以。通过API Monitor分析,确定Volume Shadow Copy Service (VSS) 在系统还原中起关键作用。作者模拟API调用顺序,成功获取还原点信息,并分析了相关文件,揭示了还原点信息隐藏在特定文件中,包括时间戳、快照ID等。然而,发现该方法在Windows XP上无法运行,因为VSS服务需要与系统版本匹配的应用程序调用。
本来是用WMI就可以搞定的,但是不知道什么时候开始,WMI貌似没效果了,
SELECT * from SystemRestore
结果是空的,但是系统程序rstrui.exe里面能成功找出还原点,这就很神奇了。。。决定研究一下。
每次创建还原点都会有一个系统进程特别占硬盘:
翻阅资料后了解到这是一个Volume Shadow Copy Service,看来系统还原就是基于此功能来实现的。
使用API Monitor,监视VSS相关API:
发现有一个遍历的过程,此时遍历了5次,最后一次是失败的,成功了4次,正好本机上有四个还原点:
说明正好是这个遍历得到了还原点数据,感觉妥妥的。
我照着API调用顺序写了一个demo获取到了还原点的信息(只展示其中一个):
最低0.47元/天 解锁文章
扫一扫
278
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
