• String Description
• uint32 RestorePointType
• uint32 EventType
• uint32 SequenceNumber
• String CreationTime

Requette WMI sur le namespace Root/DEFAULT

Select * from SystemRestore

Résultats de la requette : instances of SystemRestore

 show

instance of SystemRestore
{
	CreationTime = “20230520111749.478553-000”;
	Description = “Point de contrôle planifié”;
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 42;
};

instance of SystemRestore
{
	CreationTime = “20230529171007.011241-000”;
	Description = “Programme d’installation pour les modules Windows”;
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 43;
};

instance of SystemRestore
{
	CreationTime = “20230529171229.539699-000”;
	Description = “Programme d’installation pour les modules Windows”;
	EventType = 100;
	RestorePointType = 0;
	SequenceNumber = 44;
};

instance of SystemRestore
{
	CreationTime = “20230607080225.936103-000”;
	Description = “Point de contrôle planifié”;
	EventType = 100;
	RestorePointType = 7;
	SequenceNumber = 45;
};

• Source : https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/aa394433(v=vs.85)

Permet de voir quel volumes sont concernés par SystemRestore

instance of Win32_ShadowStorage

 show
{
	AllocatedSpace = “19998441472”;
	DiffVolume = “Win32_Volume.DeviceID=\”\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\“”;
	MaxSpace = “400079348531”;
	UsedSpace = “18825216”;
	Volume = “Win32_Volume.DeviceID=\”\\\\\\\\?\\\\Volume{55555555-0000-0000-0000-100000000000}\\\\\“”;
};

Cette requette WMI permet de récuperer les memes informations que la commande vssadmin list shadowstorage

commande → vssadmin list shadowstorage

 show
Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 18,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 18,6 Go (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)

• Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
• Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore

( Source )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\RPSessionInterval

value = 0 system restore is disabled, if 1 then it's enabled.

C:\Users\thierry>vssadmin list shadowstorage

 show
vssadmin 1.1 - Outil ligne de commande d’administration du service de cliché instantané de volume
(C) Copyright 2001-2013 Microsoft Corp.

Association de stockage de cliché instantané
   Pour le volume : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Volume de stockage de cliché instantané : (J:)\\?\Volume{55555555-0000-0000-0000-100000000000}\
   Espace du volume de stockage de cliché instantané utilisé : 0 octet(s) (0%).
   Espace du volume de cliché instantané alloué : 0 octet(s) (0%).
   Espace maximal du volume de cliché instantané : 373 Go (20%)

Association de stockage de cliché instantané
   Pour le volume : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Volume de stockage de cliché instantané : (C:)\\?\Volume{894b76ef-0000-0000-0000-602200000000}\
   Espace du volume de stockage de cliché instantané utilisé : 79,0 Mo (0%).
   Espace du volume de cliché instantané alloué : 4,75 Go (0%).
   Espace maximal du volume de cliché instantané : 95,2 Go (20%)

avec la commande :

rstrui

Avec la ligne de commande:

control sysdm.cpl,,4

• https://learn.microsoft.com/en-us/windows/win32/sr/system-restore-wmi-classes
• https://stackoverflow.com/questions/54158078/how-can-i-check-programmatically-if-a-drive-is-subject-to-system-restore-feature