如何列出影子卷中所有修改过的文件？

Question

创建还原点后，Windows 开始监视卷，任何更改都会记录在系统卷信息文件夹内的专有差异文件中。

通过完整的 VSS-SDK api，我们可以公开卷，但它向我们显示整个卷以及自快照创建以来已修改或尚未修改的所有文件/文件夹，并且在访问任何文件时，过滤器驱动程序会应用diff（如果需要）并向我们显示该文件。

我的问题：是否可以列出相对于还原点的所有修改文件（除了比较影子卷和主卷内的每个文件的强力方法）？

当我们单击文件属性中的先前版本选项卡时，Windows 是如何执行此操作的？

Answer 1

使用NTFS 更改日志。 Windows 在日志数据库中记录对 NTFS 卷上所有文件的所有更改（如果日志已打开）。可以查询此命令以返回从特定起始 USN 号（您的还原点）开始的所有更改，

这里是 一篇关于日记的文章在实现变更日记功能时对我帮助很大

Answer 2

要检测当前文件系统与卷影副本中的更改，您可以使用第三方软件（例如 WinMerge）和卷影副本 UNC 路径
http://winmerge.org/。这将提供一个用于比较的 GUI

例如，使用“C:\”与“\localhost\C$\@GMT-2017.08.24-18.07.46”

当然，输入有效的 UNC 路径以与日期一致卷影副本的时间。

Answer 3

我想最好的方法是暴力破解，加上USN号码比较作为参考，类似问题的链接是此处

Answer 4

Windows 从属性修改日期得知。它比较两个文件并检查修改日期。