Ceci est une ancienne révision du document !


Restauration du système

La Classe WMI SystemRestore

Propriétés

  • String Description
  • uint32 RestorePointType
  • uint32 EventType
  • uint32 SequenceNumber
  • String CreationTime

Méthodes

MethodDescriptionLien vers la doc Microsoft
CreateRestorePointCréé un point de retsauration.https://learn.microsoft.com/en-us/windows/win32/sr/createrestorepoint-systemrestore
DisableDésactive le monitoring sur un disque en particulier.https://learn.microsoft.com/en-us/windows/win32/sr/disable-systemrestore
EnableActive le monitoring sur un disque en particulier.https://learn.microsoft.com/en-us/windows/win32/sr/enable-systemrestore
GetLastRestoreStatusRetourne le status de la dernière restaurationsystème.https://learn.microsoft.com/en-us/windows/win32/sr/getlastrestorestatus-systemrestore
RestoreCommence une restauration système.https://learn.microsoft.com/en-us/windows/win32/sr/restore-systemrestore

Récupérer les points de restauration

Requette WMI sur le namespace Root/DEFAULT

Select * from SystemRestore
Résultats de la requette : instances of SystemRestore

 show

instance of SystemRestore
{
	CreationTime = “20230520111749.478553-000”;
	Description = “Point de contrôle planifié”;
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 42;
};

instance of SystemRestore
{
	CreationTime = “20230529171007.011241-000”;
	Description = “Programme d’installation pour les modules Windows”;
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 43;
};

instance of SystemRestore
{
	CreationTime = “20230529171229.539699-000”;
	Description = “Programme d’installation pour les modules Windows”;
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 44;
};

instance of SystemRestore
{
	CreationTime = “20230607080225.936103-000”;
	Description = “Point de contrôle planifié”;
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 45;
};

Classe WMI Win32_ShadowStorage

Permet de voir quel volumes sont concernés par SystemRestore

instance of Win32_ShadowStorage

 show
{
	AllocatedSpace = “19998441472”;
	DiffVolume = “Win32_Volume.DeviceID=\”\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\“”;
	MaxSpace = “400079348531”;
	UsedSpace = “18825216”;
	Volume = “Win32_Volume.DeviceID=\”\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\“”;
};

Cette requette WMI permet de récuperer les memes informations que la commande vssadmin list shadowstorage

commande → vssadmin list shadowstorage

 show
Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 18,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 18,6 Go (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)

Informations dans la Base de Registre

Clés interessantes

  • Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
  • Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore

Savoir si SystemRestore est activé

( Source )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\RPSessionInterval

value = 0 system restore is disabled, if 1 then it's enabled.

Lignes de commandes

vssadmin

C:\Users\thierry>vssadmin list shadowstorage

 show
vssadmin 1.1 - Outil ligne de commande d’administration du service de cliché instantané de volume
(C) Copyright 2001-2013 Microsoft Corp.

Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 0 octet(s) (0%).
   Espace du volume de cliché instantané alloué : 0 octet(s) (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)

Association de stockage de cliché instantané
   Pour le volume : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Volume de stockage de cliché instantané : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Espace du volume de stockage de cliché instantané utilisé : 79,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 4,75 Go (0%).
   Espace maximal du volume de cliché instantané : 95,2 Go (20%)

Afficher le paramètre de protection du système

Windows 10

Avec la ligne de commande:

control sysdm.cpl,,4

Sources & Ressources

Vous pourriez laisser un commentaire si vous étiez connecté.