So extrahieren Sie Registrierungsschlüssel von einem Systemwiederherstellungspunkt in Windows

VerschiedenesDec 20, 2021

Snapshots der Systemwiederherstellung oder Volumeschattenkopien enthalten Registrierungsstrukturen sowie kritische Systemdateien. Manchmal müssen Sie möglicherweise einzelne Registrierungsschlüssel von einem früheren Wiederherstellungspunkt extrahieren, möchten jedoch kein vollständiges Rollback der Systemwiederherstellung durchführen.

Zuvor haben wir gesehen, wie man die Registrierungsstrukturen aus Schattenkopien öffnet Verwenden Sie die Registerkarte "Vorherige Versionen" und laden Sie die Registrierungsstrukturen um die benötigten Schlüssel zu extrahieren. Es gibt jetzt eine komfortablere Möglichkeit, bestimmte Registrierungsschlüssel von einem Wiederherstellungspunkt zu extrahieren.

Schauen Sie sich eines der neuesten Dienstprogramme von Nirsoft.net an, genannt RegistryChangesView. Während der Hauptzweck dieses Programms darin besteht, Snapshots der Windows-Registrierung zu vergleichen, kann es auch verwendet werden, um Registrierungsdaten aus einer vorhandenen Schattenkopie oder einem Wiederherstellungspunkt zu extrahieren. Es kann verwendet werden, um Registrierungsschlüssel wiederherzustellen, die möglicherweise versehentlich gelöscht wurden.

Szenario: Angenommen, Sie haben den Druckspoolerdienst versehentlich gelöscht und möchten den folgenden Registrierungsschlüssel für den Druckspoolerdienst von einem Wiederherstellungspunkt wiederherstellen.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Extrahieren von Registrierungsschlüsseln von einem Systemwiederherstellungspunkt

  1. Starten Sie RegistryChangesView und konfigurieren Sie es wie unten gezeigt.
    RegistrierungÄnderungenAnsichtsoptionen
  2. Setzen Sie „Registrierungsdatenquelle 1“ auf Aktuelles Register
  3. Setzen Sie „Registrierungsdatenquelle 2“ auf Schattenkopie
  4. Wählen Sie einen der Schattenkopiepfade aus der angezeigten Liste aus.

    Das Element mit der höchsten Nummer in der Liste der Schattenkopiepfade steht für die neueste Schattenkopie oder den letzten Wiederherstellungspunkt. Die Liste der Schattenkopien finden Sie mit vssadmin-Listenschatten Befehlszeile von an Admin-Eingabeaufforderungsfenster. Weitere Informationen finden Sie im Artikel So löschen Sie einzelne Systemwiederherstellungspunkte in Windows.

  5. Wählen Sie die entsprechenden Registrierungsstrukturen für den Vergleich aus. In diesem Artikel aktivieren wir nur das folgende Kontrollkästchen, da dies der Ort ist, an dem die Registrierungsschlüssel der Dienste gespeichert werden:
    HKEY_LOCAL_MACHINE\SYSTEM
  6. OK klicken. RegistryChangesView wird die ausgewählten Schlüssel in den Quell- und Zielregistrierungsstrukturen aufzählen und vergleichen und die Ergebnisse anzeigen.
  7. Aktivieren Sie im Menü Ansicht die Option namens Schnellfilter verwenden. [Strg + Q]Registrierungsänderungenansicht Schnellfilter verwenden
  8. Geben Sie in das Textfeld Schnellfilter ein \spooler oder Dienste\Spooler um Einträge zu filtern, deren Schlüssel mit dem Wort „spooler“ beginnen. Die Idee ist, die Ergebnisse nur auf die folgenden Schlüssel und Unterschlüssel zu beschränken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
    RegistrierungsänderungenErgebnisfenster anzeigen
  9. Wählen Sie alle Einträge aus (die den obigen Zweig enthalten) und drücken Sie Strg + E um die Ergebnisse in eine REG-Datei zu exportieren. Oder klicken Sie auf Datei > Ausgewählte Elemente in eine .Reg-Datei exportieren
  10. Speichern Sie die REG-Datei auf dem Desktop und öffnen Sie sie mit Notepad.
    RegistryÄnderungenView-Export .reg
  11. Ersetze jedes Vorkommen der Zeichenfolge ControlSet001 mit CurrentControlSet, und speichern Sie die Datei.
    Registrychangesview .reg-Export
  12. Doppelklicken Sie auf die REG-Datei, um deren Inhalt (Schlüssel „Spooler“) zur Registrierung hinzuzufügen.

Sie haben jetzt den fehlenden Registrierungsschlüssel für den Druckspoolerdienst wiederhergestellt!

Kleiner Fehler

Ein kleines Problem, das mir aufgefallen ist, ist, dass die aktuelle Version von RegistryChangesView beim Exportieren der Einträge in die REG-Datei erweiterbare Zeichenfolgenwerte schreibt als REG_SZ Werttyp. Zum Beispiel die Bildpfad Der Registrierungswert enthält eine Umgebungsvariable und der Werttyp sollte. sein REG_EXPAND_SZ anstatt REG_SZ.

Registrychangesview erweiterbarer String

Sie müssen die Registrierung bearbeiten, um solche Fehler manuell zu beheben. Notieren Sie den Wertnamen und die Wertdaten in Notepad, löschen Sie den Wertnamen aus der Registrierung und erstellen Sie einen Wert mit dem gleichen Namen und den gleichen Wertdaten, aber vom Typ REG_EXPAND_SZ.

Registrychangesview erweiterbarer String-Wert

Das ist alles! Wie immer gibt es andere Möglichkeiten, die Registrierungsdaten wiederherzustellen. Sie können das Schattenkopie-Volume auch mit den Dienstprogrammen ShadowCopyView oder ShadowExplorer mounten und die Registrierungsstrukturen laden/extrahieren. Artikel ansehen ShadowCopyView stellt Dateien aus Volumeschattenkopie-Snapshots wieder her und Wiederherstellen früherer Versionen von Registrierungsstrukturen aus Systemwiederherstellungs-Snapshots in Windows für mehr Details.

Die in diesem Beitrag besprochene RegistryChangesView-Methode sollte auf jeder Windows-Version bis Windows 10 funktionieren. Es werden sowohl 32-Bit- als auch 64-Bit-Systeme unterstützt.

Eine kleine Bitte: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte?

Eine "kleine" Aktie von Ihnen würde dem Wachstum dieses Blogs sehr helfen. Einige tolle Vorschläge:
  • Pin es!
  • Teilen Sie es mit Ihrem Lieblingsblog + Facebook, Reddit
  • Tweete es!
Also vielen Dank für Ihre Unterstützung, mein Leser. Es dauert nicht länger als 10 Sekunden Ihrer Zeit. Die Share-Buttons befinden sich direkt darunter. :)