復元ポイントに保存されているファイルの確認 (MANDIANT Restore Point Analyzer)

Windows XPの復元ポイントに保存されているファイル名を確認する方法。

はじめに

復元ポイントは通常以下に作成される。
- C:\System Volume Information\_restore{SYSTEM GUID}\RPxxx\
しかし、ファイル名については「A0000001.exe」等のオリジナルとは異なるファイル名で保存されている。
復元ポイント内に存在する「change.log」を確認することによって、オリジナルのファイル名と、復元ポイントで管理されているファイル名を紐付けることが可能となる。

MANDIANT Restore Point Analyzer

復元ポイント作成時に作成される「change.log」を解析するツール
- MANDIANT Restore Point Analyzer
使い方は簡単で、解析したいchange.logを開くだけ