问是否可以浏览Windows 7以前版本的脱机硬盘驱动器？

EN

简单的回答可能是。Windows以前的版本保存在所谓的卷影副本中。卷影复制服务(VSC)负责保存这些早期版本的文件。因此，如果您正在寻找一个，您需要获得访问的影子副本的驱动器。

VSC不占用已使用的驱动器空间，而是使用空闲空间来存储文件，因为驱动器填充这些副本将被自动删除，以腾出空间文件。

至于访问它，如果您所拥有的只是驱动器本身，您可以做的最好的事情是遵循法医或事件响应方法。EnCase有能力从驱动器映像中挂载VSC，但我怀疑您是否可以访问它。如果确实这样做了，则创建驱动器的映像，然后将其挂载到EnCase PDE中，并使用vssadmin访问影子副本。

如果没有，也许有一种方法可以帮助你，但我还没有亲自测试过。我一直想用这种方法从驱动器映像中检索VSC文件，但一直没有时间去做一个适合它的实验室。在我的待办事项清单上。然而，我认为，如果文件确实保存在VSC中，这可能是恢复文件的最佳方法。

完整的博客文章位于这里：

• http://windowsir.blogspot.ca/2009/11/working-with-volume-shadow-copies.html

创建驱动器的完整磁盘映像非常重要。一份的直接拷贝。dd可以很好地处理这个或testdisk，这两个linux工具都可以很容易地用来创建一个合适的映像。我敦促你不要使用驱动器本身进行这种测试。图像可以被替换。驱动器不能。

按照这个人用来访问和操作VSC的步骤，您可以挂载您的VSC并找到您正在寻找的内容。

祝好运!

dd'c副本将不具有原始位深度，因此您试图恢复的覆盖数据将不存在。你必须使用一个拷贝工具来理解深度复用，希望能达到32的最大深度。外壳就是一个(好的)例子。