Windows註冊表文件影子副本

Question

我需要找到磁盤上的所有Windows註冊表文件，包括來自Windows影子副本的備份註冊表數據。問題是我不知道這些文件的位置。

在網上我發現了這個命令 vssadmin list shadowstorage 但它返回我這個

For volume: (C:)\\?\Volume{ba406d28-f092-11dc-b3d7-806e6f6e6963}\

Shadow Copy Storage volume: (C:)\\?\Volume{ba406d28-f092-11dc-b3d7-806e6f6e6963}\

這是什麼？那些文件真的位於哪裏？我如何訪問它們？如果我在一開始就用「regf」幻數掃描硬盤驅動器中的二進制文件，是否足以查找所有註冊表數據？

ADDED

我創建的快捷方式上一個備份文件夾的文件夾屬性（以前的版本） 下面是快捷方式所指向

\\localhost\C$\@GMT-2012.04.12-00.13.21\Windows\System32\config

看起來它包含的備份文件，但是否有可能將其作爲普通目錄進行訪問？我如何在硬盤上找到這些目錄？

在此先感謝。

Answer 1

運行vssadmin list shadows（不 shadowstorage）

您將收到卷影副本列表與在其他信息的路徑，每個。路徑是這樣的：

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 

使用路徑作爲替代到貨量信是這樣的：

CreateFileW(L"\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy1\\Windows\\System32\\config\\SYSTEM", GENERIC_READ, 
FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE, NULL, OPEN_EXISTING, 0, NULL);