Registrivõtmete ekstraktimine Windowsi süsteemi taastepunktist

Süsteemitaaste hetktõmmised või köite varikoopiad sisaldavad nii registritarusid kui ka olulisi süsteemifaile. Mõnikord peate võib-olla eraldama üksikud registrivõtmed varasemast taastepunktist, kuid te ei soovi süsteemitaaste täielikku tagasipööramist teha.

Varem nägime, kuidas registritarusid varikoopiatest avada kasutades vahekaarti "Eelmised versioonid" ja laadige registritarud vajalike võtmete eraldamiseks. Nüüd on taastepunktist konkreetsete registrivõtmete ekstraheerimiseks mugavam võimalus.

Tutvuge saidi Nirsoft.net ühe uusima utiliitiga, mille nimi on RegistryChangesView. Kuigi selle programmi peamine eesmärk on võrrelda Windowsi registri hetktõmmiseid, saab seda kasutada ka registriandmete ekstraktimiseks olemasolevast varikoopiast või taastepunktist. Seda saab kasutada kogemata kustutatud registrivõtmete taastamiseks.

Stsenaarium: Oletame, et kustutasite kogemata prindispuuleri teenuse ja soovite taastada järgmise prindispuuleri teenuse registrivõtme taastepunktist.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Ekstraktige süsteemi taastepunktist registrivõtmed

1. Käivitage RegistryChangesView ja konfigureerige see, nagu allpool näidatud.
   
2. Määrake "Registry Data Source 1" väärtuseks Praegune register
3. Määrake "Registry Data Source 2" väärtuseks Varikoopia
4. Valige kuvatud loendist üks varikoopiateedest.

   Loendis Shadow Copy Path kõrgeima numbriga üksus tähistab viimast varikoopiat või taastepunkti. Varikoopiate loendi leiate kasutades vssadmini loendi varjud käsurida an admin Command Prompt aken. Lisateabe saamiseks vaadake artiklit Kuidas kustutada Windowsis üksikuid süsteemi taastepunkte.

5. Valige võrdluseks kaasamiseks sobivad registritarud. Selle artikli jaoks valime ainult järgmise märkeruudu, kuna see on koht, kuhu salvestatakse teenuste registrivõtmed:

   HKEY_LOCAL_MACHINE\SYSTEM

6. Klõpsake nuppu OK. RegistryChangesView loetleb ja võrdleb valitud võtmeid lähte- ja sihtregistri tarus ning kuvab tulemused.
7. Lubage menüüs Vaade suvand nimega Kasutage kiirfiltrit. [Ctrl + K]
8. Tippige tekstiväljale Kiirfilter \spooler või teenused\spooler kirjete filtreerimiseks, kus klahvid algavad sõnaga "spooler". Idee on piirata tulemusi ainult järgmiste võtmete ja alamvõtmetega.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

   
9. Valige kõik kirjed (mis sisaldavad ülaltoodud haru) ja vajutage Ctrl + E tulemuste eksportimiseks REG-faili. Või klõpsake nuppu Fail > Ekspordi valitud üksused .Reg-faili
10. Salvestage REG-fail töölauale ja avage see Notepadiga.
    
11. Asendage iga stringi esinemine ControlSet001 koos CurrentControlSetja salvestage fail.
    
12. Topeltklõpsake REG-faili, et lisada selle sisu ("Spooler" võti) registrisse.

Olete nüüd taastanud puuduva prindispuuleri teenuse registrivõtme!

Väike tõrge

Üks väike probleem, mida märkasin, on see, et praegune RegistryChangesView versioon kirjutab kirjete eksportimisel REG-faili laiendatavad stringi väärtused REG_SZ väärtuse tüüp. Näiteks ImagePath registriväärtus sisaldab keskkonnamuutujat ja väärtuse tüüp peaks olema REG_EXPAND_SZ selle asemel REG_SZ.

Selliste vigade käsitsi parandamiseks peate registrit redigeerima. Märkige üles väärtuse nimi ja väärtuse andmed Notepadis, kustutage väärtuse nimi registrist ja looge sama nime ja väärtusandmetega väärtus, kuid tüübiga REG_EXPAND_SZ.

Selles postituses käsitletav RegistryChangesView meetod peaks töötama kõigis Windowsi versioonides kuni Windows 10-ni. Toetatud on nii 32-bitised kui ka 64-bitised süsteemid.