Как да извлечете ключове на системния регистър от точка за възстановяване на системата в Windows

MiscellaneaDec 20, 2021

Моментните снимки за възстановяване на системата или сенчести копия на обема съдържат кошери в системния регистър, както и критични системни файлове. Понякога може да се наложи да извлечете отделни ключове на системния регистър от по-ранна точка за възстановяване, но не искате да правите пълно възстановяване на системата.

По-рано видяхме как да отворите кошерите на системния регистър от сенчести копия като използвате раздела „Предишни версии“ ​​и заредете кошерите на системния регистър за да извлечете необходимите ключове. Вече има по-удобна опция за извличане на конкретни ключове в системния регистър от точка за възстановяване.

Вижте една от най-новите помощни програми от Nirsoft.net, на име RegistryChangesView. Докато основната цел на тази програма е да сравнява моментни снимки на системния регистър на Windows, тя може да се използва и за извличане на данни от системния регистър от съществуващо копие в сянка или точка за възстановяване. Може да се използва за възстановяване на ключове в системния регистър, които може да са случайно изтрити.

Сценарий: Да приемем, че случайно сте изтрили услугата Print Spooler и искате да възстановите следния ключ на регистъра на услугата Print Spooler от точка за възстановяване.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Извличане на ключове на системния регистър от точка за възстановяване на системата

  1. Стартирайте RegistryChangesView и го конфигурирайте, както е показано по-долу.
    опции за преглед на промени в регистъра
  2. Задайте „Източник на данни в регистъра 1“ на Текущ регистър
  3. Задайте „Източник на данни в регистъра 2“ на Копие на сянка
  4. Изберете един от пътищата за копиране в сянка от показания списък.

    Най-високият номериран елемент в списъка Път на сенчево копиране представлява най-новото сенчесто копие или точка за възстановяване. Можете да намерите списъка със сенчести копия, като използвате vssadmin списък със сенки команден ред от an администраторски прозорец на командния ред. За повече информация вижте статията Как да изтриете отделни точки за възстановяване на системата в Windows.

  5. Изберете подходящите кошери на системния регистър, които да включите за сравнение. За тази статия ще изберем само следното квадратче за отметка, тъй като това е мястото, което съхранява ключовете на системния регистър на услугите:
    HKEY_LOCAL_MACHINE\SYSTEM
  6. Щракнете върху OK. RegistryChangesView ще изброи и сравни избраните ключове в изходния и дестинационния регистър и ще покаже резултатите.
  7. От менюто Изглед активирайте опцията с име Използвайте бърз филтър. [Ctrl + В]registrychangesview използвайте бърз филтър
  8. В текстовото поле Бърз филтър въведете \spooler или услуги\спулер за филтриране на записи, където ключовете започват с думата „spooler“. Идеята е да се ограничат резултатите само до следните ключове и подключове.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
    registrychangesview прозорец с резултати
  9. Изберете всички записи (които съдържат горния клон) и натиснете Ctrl + Е за да експортирате резултатите в REG файл. Или щракнете върху Файл > Експортирайте избраните елементи във файл .Reg
  10. Запазете REG файла на работния плот и го отворете с Notepad.
    registrychangesview експортиране .reg
  11. Заменете всяко появяване на низа ControlSet001 с CurrentControlSet, и запазете файла.
    registrychangesview .reg експортиране
  12. Щракнете двукратно върху REG файла, за да добавите съдържанието му (ключ „Spooler“) към системния регистър.

Вече възстановихте липсващия ключ от регистъра на услугата Print Spooler!

Малък бъг

Един малък проблем, който забелязах, е, че текущата версия на RegistryChangesView, когато експортира записите във файла REG, записва стойности на разширяем низ като REG_SZ тип стойност. Например, на ImagePath Стойността на системния регистър съдържа променлива на средата и типът стойност трябва да бъде REG_EXPAND_SZ вместо REG_SZ.

registrychangesview разширяем низ

Ще трябва да редактирате системния регистър, за да коригирате ръчно такива недостатъци. Запишете името на стойността и данните за стойността в Notepad, изтрийте името на стойността от регистъра и създайте стойност със същото име и данни за стойност, но от тип REG_EXPAND_SZ.

registrychangesview разширяема стойност на низ

Това е всичко! Както винаги, има и други начини за възстановяване на данните в системния регистър. Можете също да монтирате обема на сенчестите копия, като използвате помощните програми ShadowCopyView или ShadowExplorer и да заредите/извлечете кошерите на системния регистър. Вижте статията ShadowCopyView възстановява файлове от обемни моментни снимки на сенчево копиране и Възстановете предишни версии на кошери на системния регистър от моментни снимки за възстановяване на системата в Windows за повече информация.

Методът RegistryChangesView, обсъждан в тази публикация, трябва да работи на всяка версия на Windows, до Windows 10. Поддържат се както 32-битови, така и 64-битови системи.

Една малка молба: Ако тази публикация ви е харесала, моля, споделете я?

Едно "малко" споделяне от вас сериозно би помогнало много за развитието на този блог. Някои страхотни предложения:
  • Закачете го!
  • Споделете го с любимия си блог + Facebook, Reddit
  • Twitter го!
Така че много ви благодаря за подкрепата, мой читателю. Това няма да отнеме повече от 10 секунди от времето ви. Бутоните за споделяне са точно отдолу. :)