Registersleutels extraheren van een systeemherstelpunt in Windows

Momentopnamen van Systeemherstel of schaduwkopieën van volumes bevatten registerkasten en kritieke systeembestanden. Soms moet u afzonderlijke registersleutels van een eerder herstelpunt extraheren, maar wilt u geen volledig terugdraaien van Systeemherstel.

Eerder zagen we hoe we de registerkasten kunnen openen vanuit schaduwkopieën met behulp van het tabblad "Vorige versies" en laadt u de registerkasten om de vereiste sleutels te extraheren. Er is nu een comfortabelere optie om specifieke registersleutels uit een herstelpunt te extraheren.

Bekijk een van de nieuwste hulpprogramma's van Nirsoft.net, genaamd RegisterwijzigingenBekijken. Hoewel het primaire doel van dit programma is om snapshots van het Windows-register te vergelijken, kan het ook worden gebruikt om registergegevens uit een bestaand schaduwkopie- of herstelpunt te extraheren. Het kan worden gebruikt om registersleutels te herstellen die per ongeluk zijn verwijderd.

Scenario: Stel dat u per ongeluk de Print Spooler-service hebt verwijderd en dat u de volgende registersleutel van de Print Spooler-service wilt herstellen vanaf een herstelpunt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Registersleutels extraheren vanaf een systeemherstelpunt

1. Start RegistryChangesView en configureer het zoals hieronder getoond.
   
2. Stel “Registergegevensbron 1” in op Huidig ​​register
3. Stel “Registergegevensbron 2” in op Schaduwkopie
4. Selecteer een van de paden voor schaduwkopieën uit de weergegeven lijst.

   Het item met het hoogste nummer in de lijst Pad schaduwkopie vertegenwoordigt het meest recente schaduwkopie- of herstelpunt. U kunt de lijst met schaduwkopieën vinden met vssadmin lijst schaduwen opdrachtregel van an admin Opdrachtpromptvenster. Voor meer informatie, bekijk het artikel Hoe individuele systeemherstelpunten in Windows te verwijderen.

5. Selecteer de juiste registerkasten om ter vergelijking op te nemen. Voor dit artikel selecteren we alleen het volgende selectievakje, omdat dat de locatie is waar de registersleutels van Services worden opgeslagen:

   HKEY_LOCAL_MACHINE\SYSTEM

6. Klik OK. RegistryChangesView inventariseert en vergelijkt de geselecteerde sleutels in de bron- en doelregisterkasten en toont de resultaten.
7. Schakel in het menu Beeld de optie met de naam. in Snelfilter gebruiken. [Ctrl + Q]
8. Typ in het tekstvak Snelfilter \spooler of services\spooler om items te filteren waarbij de toetsen beginnen met het woord "spooler". Het idee is om de resultaten te beperken tot alleen de volgende sleutel en subsleutels.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

   
9. Selecteer alle items (die de bovenstaande tak bevatten) en druk op Ctrl + E om de resultaten naar een REG-bestand te exporteren. Of klik op Bestand > Geselecteerde items exporteren naar .Reg-bestand
10. Sla het REG-bestand op op het bureaublad en open het met Kladblok.
    
11. Vervang elk voorkomen van de tekenreeks ControleSet001 met CurrentControlSeten sla het bestand op.
    
12. Dubbelklik op het REG-bestand om de inhoud ("Spooler"-sleutel) aan het register toe te voegen.

U hebt nu de ontbrekende registersleutel van de Print Spooler-service hersteld!

Kleine storing

Een klein probleem dat me opviel, is dat de huidige versie van RegistryChangesView, bij het exporteren van de vermeldingen naar het REG-bestand, uitbreidbare tekenreekswaarden schrijft als REG_SZ waarde type. Bijvoorbeeld de Afbeeldingspad registerwaarde bevat een omgevingsvariabele en het waardetype zou moeten zijn: REG_EXPAND_SZ in plaats van REG_SZ.

U moet het register bewerken om dergelijke fouten handmatig te verhelpen. Noteer de waardenaam en waardegegevens in Kladblok, verwijder de waardenaam uit het register en maak een waarde aan met dezelfde naam en waardegegevens, maar van het type REG_EXPAND_SZ.

De RegistryChangesView-methode die in dit bericht wordt besproken, zou moeten werken op elke versie van Windows, tot Windows 10. Zowel 32-bits als 64-bits systemen worden ondersteund.