A rendszerleíró kulcsok kibontása a Windows rendszer-visszaállítási pontjából

Vegyes CikkekDec 20, 2021

A Rendszer-visszaállítás pillanatképei vagy a kötet árnyékmásolatai rendszerleíró adatbázisokat és kritikus rendszerfájlokat tartalmaznak. Néha előfordulhat, hogy ki kell bontania az egyes beállításkulcsokat egy korábbi visszaállítási pontból, de nem kíván teljes rendszer-visszaállítást végrehajtani.

Korábban láttuk, hogyan lehet megnyitni a rendszerleíró adatbázisokat árnyékmásolatokból használja a „Korábbi verziók” lapot, és töltse be a rendszerleíró adatbázist a szükséges kulcsok kinyeréséhez. Mostantól kényelmesebb lehetőség van bizonyos rendszerleíró kulcsok visszaállítási pontból történő kinyerésére.

Tekintse meg a Nirsoft.net egyik legújabb segédprogramját RegistryChangesView. Bár ennek a programnak az elsődleges célja a Windows Registry pillanatképeinek összehasonlítása, használható a rendszerleíró adatbázis adatainak kinyerésére is egy meglévő árnyékmásolatból vagy visszaállítási pontból. Használható a véletlenül törölt rendszerleíró kulcsok helyreállítására.

Forgatókönyv: Tegyük fel, hogy véletlenül törölte a Print Spooler szolgáltatást, és szeretné visszaállítani a következő Print Spooler szolgáltatás regisztrációs kulcsát egy visszaállítási pontból.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Kivonja a rendszerleíró kulcsokat egy rendszer-visszaállítási pontból

  1. Indítsa el a RegistryChangesView-t, és állítsa be az alábbiak szerint.
    registrychangesview opciók
  2. Állítsa a „Registry Data Source 1” értéket Jelenlegi nyilvántartás
  3. Állítsa a „Registry Data Source 2” értéket Árnyékmásolat
  4. Válassza ki az árnyékmásolási útvonalak egyikét a megjelenő listából.

    Az Árnyékmásolat elérési útja lista legmagasabb sorszámú eleme a legutóbbi árnyékmásolat vagy visszaállítási pont. A segítségével megtalálhatja az árnyékmásolatok listáját vssadmin lista árnyékai parancssorból egy admin Parancssor ablak. További információkért tekintse meg a cikket Az egyes rendszer-visszaállítási pontok törlése a Windows rendszerben.

  5. Válassza ki a megfelelő nyilvántartási kaptárakat az összehasonlításhoz. Ebben a cikkben csak a következő jelölőnégyzetet jelöljük be, mivel ez az a hely, ahol a Services rendszerleíró kulcsok tárolódnak:
    HKEY_LOCAL_MACHINE\SYSTEM
  6. Kattintson az OK gombra. A RegistryChangesView felsorolja és összehasonlítja a kiválasztott kulcsokat a forrás- és cél-nyilvántartási kaptárban, és megjeleníti az eredményeket.
  7. A Nézet menüben engedélyezze a nevű opciót Használja a Gyorsszűrőt. [Ctrl + K]registrychangesview gyorsszűrőt használ
  8. A Gyorsszűrő szövegmezőbe írja be \spooler vagy szolgáltatások\spooler olyan bejegyzések szűrésére, ahol a billentyűk a „spooler” szóval kezdődnek. Az ötlet az, hogy az eredményeket csak a következő kulcsokra és alkulcsokra korlátozzuk.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
    registrychangesview eredmények ablak
  9. Jelölje ki az összes bejegyzést (amely tartalmazza a fenti ágat), és nyomja meg a gombot Ctrl + E az eredmények REG fájlba exportálásához. Vagy kattintson a Fájl > elemre A kiválasztott elemek exportálása .Reg fájlba
  10. Mentse el a REG fájlt az asztalra, és nyissa meg a Jegyzettömb segítségével.
    registrychangesview export .reg
  11. Cserélje le a karakterlánc minden előfordulását ControlSet001 val vel CurrentControlSet, és mentse a fájlt.
    registrychangesview .reg export
  12. Kattintson duplán a REG fájlra, hogy hozzáadja annak tartalmát ("Spooler" kulcs) a beállításjegyzékhez.

Ezzel visszaállította a hiányzó Print Spooler szolgáltatás regisztrációs kulcsát!

Kis hiba

Egy apró probléma, amit észrevettem, hogy a RegistryChangesView jelenlegi verziója a bejegyzések REG fájlba exportálásakor a kibontható karakterlánc-értékeket a következőképpen írja ki. REG_SZ érték tipusa. Például a ImagePath A registry value tartalmaz egy környezeti változót, és az érték típusának a következőnek kell lennie REG_EXPAND_SZ ahelyett REG_SZ.

registrychangesview kibontható karakterlánc

Az ilyen hibák manuális kijavításához módosítania kell a beállításjegyzéket. Jegyezze fel az érték nevét és értékadatait a Jegyzettömbben, törölje az érték nevét a rendszerleíró adatbázisból, és hozzon létre egy értéket azonos névvel és értékadatokkal, de típusú REG_EXPAND_SZ.

registrychangesview kibontható karakterlánc értéke

kb ennyi! Mint mindig, most is vannak más módok a beállításjegyzéki adatok visszaállítására. Az árnyékmásolat-kötet ShadowCopyView vagy ShadowExplorer segédprogramokkal is felcsatolható, és betöltheti/kibonthatja a rendszerleíró adatbázisokat. Nézze meg a cikket A ShadowCopyView visszaállítja a fájlokat a kötet árnyékmásolat-pillanatfelvételeiből és Állítsa vissza a Registry Hives korábbi verzióit a Windows rendszer-visszaállítási pillanatképeiből további részletekért.

Az ebben a bejegyzésben tárgyalt RegistryChangesView módszernek a Windows bármely verzióján működnie kell, egészen a Windows 10-ig. A 32 bites és a 64 bites rendszerek egyaránt támogatottak.

Egy apró kérés: Ha tetszett a bejegyzés, kérlek oszd meg?

Egy "apró" megosztásod komolyan segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:
  • Tűzd ki!
  • Oszd meg kedvenc blogoddal + Facebook, Reddit
  • Tweeteljen!
Szóval nagyon köszönöm a támogatást, olvasóm. Nem fog több időt igénybe venni 10 másodpercnél. A megosztási gombok közvetlenül lent találhatók. :)