====== Restauration du système ======
===== La Classe WMI SystemRestore =====
==== Propriétés ====
  * String Description
  * uint32 RestorePointType
  * uint32 EventType
  * uint32 SequenceNumber
  * String CreationTime
==== Méthodes ====
^Method^Description^Lien vers la doc Microsoft^
|''CreateRestorePoint''|Créé un point de retsauration.|https://learn.microsoft.com/en-us/windows/win32/sr/createrestorepoint-systemrestore|
|''Disable''|Désactive le monitoring sur un disque en particulier.|https://learn.microsoft.com/en-us/windows/win32/sr/disable-systemrestore|
|''Enable''|Active le monitoring sur un disque en particulier.|https://learn.microsoft.com/en-us/windows/win32/sr/enable-systemrestore|
|''GetLastRestoreStatus''|Retourne le status de la dernière restaurationsystème.|https://learn.microsoft.com/en-us/windows/win32/sr/getlastrestorestatus-systemrestore|
|''Restore''|Commence une restauration système.|https://learn.microsoft.com/en-us/windows/win32/sr/restore-systemrestore|



==== Récupérer les points de restauration ====
Requette WMI sur le namespace ''Root/DEFAULT''
<code>
Select * from SystemRestore
</code>
<codedoc>
Résultats de la requette : instances of SystemRestore
<codedoc toggle>

instance of SystemRestore
{
	CreationTime = "20230520111749.478553-000";
	Description = "Point de contrôle planifié";
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 42;
};

instance of SystemRestore
{
	CreationTime = "20230529171007.011241-000";
	Description = "Programme d’installation pour les modules Windows";
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 43;
};

instance of SystemRestore
{
	CreationTime = "20230529171229.539699-000";
	Description = "Programme d’installation pour les modules Windows";
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 44;
};

instance of SystemRestore
{
	CreationTime = "20230607080225.936103-000";
	Description = "Point de contrôle planifié";
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 45;
};

</codedoc>
</codedoc>
===== Classe WMI Win32_ShadowStorage =====
  * Source : [[https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/aa394433(v=vs.85)]]

Permet de voir quel volumes sont concernés par SystemRestore

<codedoc>
instance of Win32_ShadowStorage
<codedoc toggle>
{
	AllocatedSpace = "19998441472";
	DiffVolume = "Win32_Volume.DeviceID=\"\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\"";
	MaxSpace = "400079348531";
	UsedSpace = "18825216";
	Volume = "Win32_Volume.DeviceID=\"\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\"";
};

</codedoc></codedoc>
Cette requette WMI permet de récuperer les memes informations que la commande ''vssadmin list shadowstorage''
<codedoc>
commande -> vssadmin list shadowstorage
<codedoc toggle>
Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 18,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 18,6 Go (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)
</codedoc></codedoc>

===== Informations dans la Base de Registre =====
==== Clés interessantes ====

  * ''Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore''
  * ''Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore''
==== Savoir si SystemRestore est activé ====
( [[https://answers.microsoft.com/en-us/windows/forum/all/enable-system-restore-registry-key/9e34679f-12cd-4433-8750-3bdce6f7f360|Source]] )

''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\RPSessionInterval''

value = 0 system restore is disabled, if 1 then it's enabled.


===== Lignes de commandes =====
==== vssadmin ====

<codedoc>
C:\Users\thierry>vssadmin list shadowstorage
<codedoc toggle>
vssadmin 1.1 - Outil ligne de commande d’administration du service de cliché instantané de volume
(C) Copyright 2001-2013 Microsoft Corp.

Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 0 octet(s) (0%).
   Espace du volume de cliché instantané alloué : 0 octet(s) (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)

Association de stockage de cliché instantané
   Pour le volume : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Volume de stockage de cliché instantané : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Espace du volume de stockage de cliché instantané utilisé : 79,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 4,75 Go (0%).
   Espace maximal du volume de cliché instantané : 95,2 Go (20%)
</codedoc>
</codedoc>

==== Lancer l'application de Restauration Système ====
avec la commande :
<code powershell>
rstrui
</code>

{{:windows:wmi:system:sysprot1.jpg|}}

==== Afficher le paramètre de protection du système ====
=== Windows 10 ===
Avec la ligne de commande:
<code powershell>
control sysdm.cpl,,4
</code>
{{:windows:wmi:system:protsys2.jpg|}}

{{:windows:wmi:system:protsys1.jpg|}}



====== Sources & Ressources ======
  * [[https://learn.microsoft.com/en-us/windows/win32/sr/system-restore-wmi-classes]]
  * [[https://stackoverflow.com/questions/54158078/how-can-i-check-programmatically-if-a-drive-is-subject-to-system-restore-feature]]