Come estrarre le chiavi di registro da un punto di ripristino del sistema in Windows

VarieDec 20, 2021

Le istantanee di Ripristino configurazione di sistema o le copie shadow del volume contengono hive del registro e file di sistema critici. A volte potrebbe essere necessario estrarre singole chiavi di registro da un punto di ripristino precedente, ma non si desidera eseguire un ripristino completo del ripristino del sistema.

In precedenza abbiamo visto come aprire gli hive del registro dalle copie shadow utilizzando la scheda "Versioni precedenti" e caricare gli hive del registro per estrarre le chiavi richieste. Ora c'è un'opzione più comoda per estrarre chiavi di registro specifiche da un punto di ripristino.

Dai un'occhiata a una delle ultime utility di Nirsoft.net, denominata Vista modifiche registro. Sebbene lo scopo principale di questo programma sia confrontare le istantanee del registro di Windows, può anche essere utilizzato per estrarre i dati del registro da una copia shadow esistente o da un punto di ripristino. Può essere utilizzato per recuperare le chiavi di registro che potrebbero essere state cancellate accidentalmente.

Scenario: Supponiamo che tu abbia eliminato accidentalmente il servizio Spooler di stampa e desideri ripristinare la seguente chiave di registro del servizio Spooler di stampa da un punto di ripristino.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Estrarre le chiavi di registro da un punto di ripristino del sistema

  1. Avvia RegistryChangesView e configuralo come mostrato di seguito.
    opzioni di visualizzazione delle modifiche del registro
  2. Impostare "Sorgente dati registro 1" su Registro corrente
  3. Impostare “Sorgente dati registro 2” su Copia ombra
  4. Seleziona uno dei percorsi della copia shadow dall'elenco mostrato.

    L'elemento con il numero più alto nell'elenco Percorso copia shadow rappresenta la copia shadow o il punto di ripristino più recente. Puoi trovare l'elenco delle copie shadow usando ombre della lista vssadmin riga di comando da an admin finestra del prompt dei comandi. Per maggiori informazioni, leggi l'articolo Come eliminare singoli punti di ripristino del sistema in Windows

  5. Selezionare gli hive di registro appropriati da includere per il confronto. Per questo articolo, selezioneremo solo la seguente casella di controllo, poiché è la posizione in cui sono archiviate le chiavi di registro dei servizi:
    HKEY_LOCAL_MACHINE\SYSTEM
  6. Fare clic su OK. RegistryChangesView enumererà e confronterà le chiavi selezionate negli hive del registro di origine e di destinazione e mostrerà i risultati.
  7. Dal menu Visualizza, abilita l'opzione denominata Usa filtro rapido. [Ctrl + Q]modifica del registro visualizza usa il filtro rapido
  8. Nella casella di testo Filtro rapido, digita \spooler o servizi\spooler per filtrare le voci in cui le chiavi iniziano con la parola "spooler". L'idea è di limitare i risultati solo alla chiave e alle sottochiavi seguenti.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
    finestra dei risultati di modifica del registro di visualizzazione
  9. Seleziona tutte le voci (che contengono il ramo sopra) e premi Ctrl + E per esportare i risultati in un file REG. Oppure, fai clic su File > Esporta gli elementi selezionati in un file .Reg
  10. Salva il file REG sul desktop e aprilo con Blocco note.
    registro modifichevisualizzazione esportazione .reg
  11. Sostituisci ogni occorrenza della stringa ControlSet001 con CurrentControlSete salvare il file.
    modifica del registro di visualizzazione .reg export
  12. Fare doppio clic sul file REG per aggiungerne il contenuto (chiave "Spooler") al registro.

Ora hai ripristinato la chiave di registro del servizio Spooler di stampa mancante!

Piccolo difetto

Un piccolo problema che ho notato è che la versione corrente di RegistryChangesView, quando si esportano le voci nel file REG, scrive valori di stringa espandibili come REG_SZ tipo di valore. Ad esempio, il PercorsoImmagine il valore del registro contiene una variabile di ambiente e il tipo di valore dovrebbe essere REG_EXPAND_SZ invece di REG_SZ.

modifica del registro visualizza stringa espandibile

Dovrai modificare il registro per correggere manualmente tali difetti. Annotare il nome del valore e i dati del valore nel Blocco note, eliminare il nome del valore dal registro e creare un valore con lo stesso nome e dati del valore, ma di tipo REG_EXPAND_SZ.

modifica del registro visualizza il valore della stringa espandibile

Questo è tutto! Come sempre, ci sono altri modi per ripristinare i dati del registro. È inoltre possibile montare il volume della copia shadow utilizzando le utility ShadowCopyView o ShadowExplorer e caricare/estrarre gli hive del registro. Dai un'occhiata all'articolo ShadowCopyView recupera i file dalle istantanee della copia shadow del volume e Ripristina le versioni precedenti degli hive del registro dalle istantanee di ripristino del sistema in Windows per ulteriori dettagli.

Il metodo RegistryChangesView discusso in questo post dovrebbe funzionare su qualsiasi versione di Windows, fino a Windows 10. Sono supportati sia i sistemi a 32 bit che quelli a 64 bit.

Una piccola richiesta: se ti è piaciuto questo post, condividilo?

Una "piccola" condivisione da parte tua sarebbe di grande aiuto per la crescita di questo blog. Alcuni ottimi suggerimenti:
  • Fissalo!
  • Condividilo sul tuo blog preferito + Facebook, Reddit
  • Twittalo!
Quindi grazie mille per il tuo supporto, mio ​​lettore. Non ci vorranno più di 10 secondi del tuo tempo. I pulsanti di condivisione sono proprio sotto. :)