Как извлечь ключи реестра из точки восстановления системы в Windows

Моментальные снимки восстановления системы или теневые копии томов содержат кусты реестра, а также важные системные файлы. Иногда вам может потребоваться извлечь отдельные ключи реестра из более ранней точки восстановления, но не нужно выполнять полный откат восстановления системы.

Ранее мы видели, как открывать кусты реестра из теневых копий. используя вкладку «Предыдущие версии» и загрузите кусты реестра. для извлечения необходимых ключей. Теперь есть более удобный вариант извлечения определенных ключей реестра из точки восстановления.

Ознакомьтесь с одной из последних утилит от Nirsoft.net под названием RegistryChangesView. Хотя основной целью этой программы является сравнение снимков реестра Windows, ее также можно использовать для извлечения данных реестра из существующей теневой копии или точки восстановления. Его можно использовать для восстановления ключей реестра, которые могли быть случайно удалены.

Сценарий: Допустим, вы случайно удалили службу диспетчера очереди печати и хотите восстановить следующий раздел реестра службы диспетчера очереди печати из точки восстановления.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler

Извлечение ключей реестра из точки восстановления системы

1. Запустите RegistryChangesView и настройте его, как показано ниже.
   
2. Установите «Источник данных реестра 1» на Текущий реестр
3. Установите для параметра «Источник данных реестра 2» значение Теневая копия
4. Выберите один из путей теневого копирования из показанного списка.

   Элемент с самым большим номером в списке «Путь теневого копирования» представляет собой самую последнюю теневую копию или точку восстановления. Вы можете найти список теневых копий, используя vssadmin список теней командная строка из Окно командной строки администратора. Для получения дополнительной информации ознакомьтесь со статьей Как удалить отдельные точки восстановления системы в Windows.

5. Выберите соответствующие кусты реестра, которые нужно включить для сравнения. В этой статье мы будем устанавливать только следующий флажок, так как это место, где хранятся ключи реестра служб:

   HKEY_LOCAL_MACHINE \ SYSTEM

6. Щелкните ОК. RegistryChangesView перечислит и сравнит выбранные ключи в исходном и целевом кустах реестра и покажет результаты.
7. В меню «Просмотр» включите параметр с именем Использовать быстрый фильтр. [Ctrl + Q]
8. В текстовом поле «Быстрый фильтр» введите \ спулер или услуги \ спулер для фильтрации записей, ключи которых начинаются со слова «спулер». Идея состоит в том, чтобы ограничить результаты только следующим ключом и подразделами.

   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler

   
9. Выберите все записи (содержащие указанную выше ветку) и нажмите Ctrl + E для экспорта результатов в файл REG. Или щелкните Файл> Экспорт выбранных элементов в файл .Reg
10. Сохраните файл REG на рабочем столе и откройте его с помощью Блокнота.
    
11. Заменить каждое вхождение строки ControlSet001 с участием CurrentControlSetи сохраните файл.
    
12. Дважды щелкните файл REG, чтобы добавить его содержимое (раздел «Spooler») в реестр.

Вы восстановили недостающий ключ реестра службы диспетчера очереди печати!

Небольшой глюк

Одна небольшая проблема, которую я заметил, заключается в том, что текущая версия RegistryChangesView при экспорте записей в файл REG записывает расширяемые строковые значения как REG_SZ тип значения. Например, ImagePath значение реестра содержит переменную среды, и тип значения должен быть REG_EXPAND_SZ вместо REG_SZ.

Чтобы исправить такие недостатки вручную, вам потребуется отредактировать реестр. Запишите имя значения и данные значения в Блокноте, удалите имя значения из реестра и создайте значение с тем же именем и данными значения, но типа REG_EXPAND_SZ.

Метод RegistryChangesView, обсуждаемый в этом посте, должен работать в любой версии Windows, вплоть до Windows 10. Поддерживаются как 32-битные, так и 64-битные системы.