Vor kurzem hatte ich einen infizierten PC, dessen Dateien mit TeslaCrypt verschlüsselt wurden, aber die Schattenkopien waren noch intakt. Da aber ein Großteil der Dateien über eine Cloud geteilt wurden (und auch da schon verschlüsselt vorlagen), musste ich die Dateien aus den Schattenkopien so kopieren, dass deren Zeitstempel erhalten bleibt. Der Zugriff auf die Schattenkopien erfolgte also über die Windows Shell (CMD), um anschließend mit ROBOCOPY die Dateien ohne Änderung am Zeitstempel zu kopieren. Sowohl ROBOCOPY, als auch VSSADMIN sind feste Bestandteile der Shell und müssen nicht vorher installiert werden!

Der Zugriff auf Schattenkopien via Shell erfolgt mit dem Befehlt VSSADMIN und eine gute Einleitung findet sich auf WindowsPro. Sobald man sich in die richtigen Schattenkopien eingeklinkt hat, können diese mit den richtigen Parametern über ROBOCOPY kopiert werden. Die Parameter zum Kopieren ohne Änderung von Datei- und Verzeichniszeitstempeln lautet:

ROBOCOPY %QUELLE% %ZIEL% /COPY:DAT /DCOPY:T /E