Os instantâneos da Restauração do sistema ou cópias de sombra de volume contêm seções de registro, bem como arquivos de sistema críticos. Às vezes, você pode precisar extrair chaves de registro individuais de um ponto de restauração anterior, mas não deseja fazer uma reversão completa da Restauração do sistema.
Anteriormente, vimos como abrir as seções de registro de cópias de sombra usando a guia “Versões anteriores” e carregue as seções do registro para extrair as chaves necessárias. Agora existe uma opção mais confortável para extrair chaves de registro específicas de um ponto de restauração.
Confira um dos utilitários mais recentes da Nirsoft.net, chamado RegistryChangesView. Embora o objetivo principal deste programa seja comparar instantâneos do Registro do Windows, ele também pode ser usado para extrair dados do registro de uma cópia de sombra existente ou ponto de restauração. Ele pode ser usado para recuperar chaves de registro que podem ter sido excluídas acidentalmente.
Cenário:
Digamos que você excluiu acidentalmente o serviço Spooler de impressão e deseja recuperar a seguinte chave de registro do serviço Spooler de impressão de um ponto de restauração.HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler
Extraia chaves de registro de um ponto de restauração do sistema
- Inicie o RegistryChangesView e configure-o conforme mostrado abaixo.
- Defina “Fonte de dados de registro 1” para Registro Atual
- Defina “Fonte de dados de registro 2” para Shadow Copy
- Selecione um dos caminhos de cópia de sombra na lista exibida.
O item com a numeração mais alta na lista Caminho da cópia de sombra representa a cópia de sombra ou o ponto de restauração mais recente. Você pode encontrar a lista de cópias de sombra usando
sombras da lista vssadmin
linha de comando de um janela de prompt de comando do administrador. Para obter mais informações, consulte o artigo Como excluir pontos individuais de restauração do sistema no Windows. - Selecione as seções de registro apropriadas para incluir para comparação. Para este artigo, selecionaremos apenas a seguinte caixa de seleção, pois é o local que armazena as chaves de registro dos Serviços:
HKEY_LOCAL_MACHINE \ SYSTEM
- Clique OK. RegistryChangesView irá enumerar e comparar as chaves selecionadas nas seções de registro de origem e destino e mostrar os resultados.
- No menu Exibir, habilite a opção chamada Use filtro rápido. [Ctrl + Q]
- Na caixa de texto Filtro rápido, digite
\ spooler
ouservices \ spooler
para filtrar entradas onde as chaves começam com a palavra “spooler”. A ideia é limitar os resultados apenas às seguintes chaves e subchaves.HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler
- Selecione todas as entradas (que contêm o ramo acima) e pressione Ctrl + E para exportar os resultados para um arquivo REG. Ou clique em Arquivo> Exportar itens selecionados para arquivo .Reg
- Salve o arquivo REG na área de trabalho e abra-o com o Bloco de notas.
- Substitua todas as ocorrências da string
ControlSet001
comCurrentControlSet
e salve o arquivo.
- Clique duas vezes no arquivo REG para adicionar seu conteúdo (chave “Spooler”) ao registro.
Agora você restaurou a chave de registro do serviço Spooler de impressão ausente!
Pequena falha
Um pequeno problema que notei é que a versão atual de RegistryChangesView, ao exportar as entradas para o arquivo REG, grava valores de string expansíveis como REG_SZ
tipo de valor. Por exemplo, o ImagePath
o valor do registro contém uma variável de ambiente e o tipo de valor deve ser REG_EXPAND_SZ
em vez de REG_SZ
.
Você precisará editar o registro para corrigir essas falhas manualmente. Anote o nome do valor e os dados do valor no Bloco de Notas, exclua o nome do valor do registro e crie um valor com o mesmo nome e dados do valor, mas do tipo REG_EXPAND_SZ
.
É sobre isso! Como sempre, existem outras maneiras de restaurar os dados do registro. Você também pode montar o volume da cópia de sombra usando os utilitários ShadowCopyView ou ShadowExplorer e carregar / extrair as seções do registro. Confira o artigo ShadowCopyView recupera arquivos de instantâneos de cópia de sombra de volume e Restaurar versões anteriores de Hives de registro de instantâneos de restauração do sistema no Windows para mais detalhes.
O método RegistryChangesView discutido nesta postagem deve funcionar em qualquer versão do Windows, até o Windows 10. Ambos os sistemas de 32 bits e 64 bits são suportados.
Um pequeno pedido: Se você gostou deste post, por favor, compartilhe?
Um "pequeno" compartilhamento seu ajudaria seriamente no crescimento deste blog. Algumas ótimas sugestões:- Fixá-lo!
- Compartilhe com seu blog favorito + Facebook, Reddit
- Tweet isso!