La respuesta corta es quizás. Las versiones anteriores de Windows se mantienen en lo que se denominan instantáneas de volumen. El servicio de instantáneas de volumen (VSC) es el responsable de mantener estas versiones anteriores de sus archivos. Por lo tanto, si está buscando uno, necesita obtener acceso a la instantánea de la unidad.
El VSC no ocupa espacio en el disco usado, sino que utiliza espacio libre para almacenar los archivos, ya que el disco se llena, estas copias se eliminan automáticamente para dejar espacio para los archivos del espacio usado.
En cuanto al acceso, si todo lo que tiene es la unidad, lo mejor que puede hacer es seguir un método forense o de respuesta a incidentes. EnCase tiene la capacidad de montar VSC desde una imagen de disco, pero dudo que tenga acceso a él. Si lo hace, cree una imagen de la unidad y luego móntela en EnCase PDE y use vssadmin para acceder a la instantánea.
Si no, puede haber un método que te ayude, pero no lo he probado yo mismo. He querido hacer un seguimiento de este método para recuperar archivos VSC de una imagen de disco, pero nunca tuve el tiempo para hacer que un laboratorio sea adecuado todavía. Está en mi lista de tareas pendientes. Sin embargo, creo que podría ser su mejor opción para recuperar los archivos si realmente se mantienen en un VSC.
La publicación completa del blog se encuentra aquí:
Es importante que cree una imagen de disco completa de la unidad. Una copia bit a bit directa. dd funcionará bien para esto o testdisk, ambas herramientas de Linux que puede utilizar fácilmente para crear una imagen adecuada. Le insto a que no utilice la unidad para este tipo de prueba. Una imagen puede ser reemplazada. La unidad no puede.
Siga los pasos que usó esta persona para acceder y manipular los VSC y es posible que pueda montar su VSC y encontrar lo que está buscando.
¡Buena suerte!