復元ポイントが作成されると、Windowsはボリュームの監視を開始し、変更はシステムボリューム情報フォルダー内の独自の差分ファイルに記録されます。
VSS-SDK apiを介して、ボリュームを公開できますが、ボリューム全体と、スナップショットの作成以降に変更された、または変更されていないすべてのファイル/フォルダーが表示され、任意のファイルにアクセスすると、フィルタードライバーが適用されます。必要に応じてdiffし、ファイルを表示します。
私の質問:復元ポイントに関して、変更されたすべてのファイルを一覧表示することは可能ですか(シャドウボリュームとメインボリューム内の各ファイルを比較するブルートフォース方式を除く)?
ファイルのプロパティで以前のバージョンのタブをクリックすると、Windowsはどのように動作しますか?
NTFS変更ジャーナルを利用してください。Windowsは、ジャーナルデータベース内のNTFSボリューム上のすべてのファイルに対するすべての変更をログに記録します(ジャーナルがオンの場合)。これを照会して、特定の開始USN番号(復元ポイント)からのすべての変更を返すことができます。
これは、ジャーナルの変更機能を実装する際に私を大いに助けたジャーナルに関する記事です。
現在のファイルシステムとシャドウコピーの変更を検出するには、シャドウコピーのUNCパス http://winmerge.org/でWinMergeなどのサードパーティソフトウェアを使用できます。これにより、比較用のGUIが提供されます
たとえば、「C:\」と「\ localhost \ C $ \@GMT-2017.08.24-18.07.46」を使用します。
もちろん、シャドウコピーの日付と時刻と一致する有効なUNCパスを入力してください。
USN番号の比較と組み合わせたブルートフォースが最善の方法だと思います。参考までに、同様の質問へのリンクはこちらです。
Windowsは、属性の日付から変更されたことを認識します。2つのファイルを比較し、変更日を確認します。