Hur man extraherar registernycklar från en systemåterställningspunkt i Windows

Systemåterställningsögonblicksbilder eller volymskuggkopior innehåller såväl registerbikupor som viktiga systemfiler. Ibland kan du behöva extrahera enskilda registernycklar från en tidigare återställningspunkt men vill inte göra en fullständig återställning av systemåterställning.

Tidigare såg vi hur man öppnar registerbikuporna från skuggkopior använd fliken "Föregående versioner" och ladda registret för att extrahera de nödvändiga nycklarna. Det finns nu ett bekvämare alternativ att extrahera specifika registernycklar från en återställningspunkt.

Kolla in ett av de senaste verktygen från Nirsoft.net, som heter RegistryChangesView. Även om det primära syftet med detta program är att jämföra ögonblicksbilder av Windows-registret, kan det också användas för att extrahera registerdata från en befintlig skuggkopia eller återställningspunkt. Det kan användas för att återställa registernycklar som kan ha raderats av misstag.

Scenario: Låt oss säga att du av misstag har tagit bort Print Spooler-tjänsten och vill återställa följande Print Spooler-tjänstregisternyckel från en återställningspunkt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Extrahera registernycklar från en systemåterställningspunkt

1. Starta RegistryChangesView och konfigurera det enligt nedan.
   
2. Ställ in "Registry Data Source 1" till Nuvarande register
3. Ställ in "Registry Data Source 2" till Skuggkopia
4. Välj en av skuggkopieringsvägarna från listan som visas.

   Det högst numrerade objektet i listan Skuggkopieringssökväg representerar den senaste skuggkopierings- eller återställningspunkten. Du kan hitta listan över skuggkopior med hjälp av vssadmin list skuggor kommandorad från en admin Kommandotolksfönster. För mer information, kolla in artikeln Hur man tar bort individuella systemåterställningspunkter i Windows.

5. Välj lämpliga registerbikupor att inkludera för jämförelse. För den här artikeln kommer vi endast att markera följande kryssruta, eftersom det är den plats som lagrar Tjänsternas registernycklar:

   HKEY_LOCAL_MACHINE\SYSTEM

6. Klicka på OK. RegistryChangesView kommer att räkna upp och jämföra de valda nycklarna i käll- och destinationsregistret och visa resultaten.
7. Från menyn Visa, aktivera alternativet med namnet Använd snabbfilter. [Ctrl + F]
8. Skriv in i textrutan Snabbfilter \spooler eller tjänster\spooler för att filtrera poster där nycklarna börjar med ordet "spooler". Tanken är att endast begränsa resultaten till följande nyckel och undernycklar.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

   
9. Välj alla poster (som innehåller ovanstående gren) och tryck Ctrl + E för att exportera resultaten till en REG-fil. Eller klicka på Arkiv > Exportera valda objekt till .Reg-fil
10. Spara REG-filen på skrivbordet och öppna den med Anteckningar.
    
11. Byt ut varje förekomst av strängen ControlSet001 med CurrentControlSetoch spara filen.
    
12. Dubbelklicka på REG-filen för att lägga till dess innehåll ("Spooler"-nyckel) till registret.

Du har nu återställt den saknade Print Spooler-tjänstens registernyckel!

Litet fel

Ett litet problem jag märkte är att den nuvarande versionen av RegistryChangesView, när man exporterar posterna till REG-filen, skriver expanderbara strängvärden som REG_SZ värde typ. Till exempel ImagePath registervärdet innehåller en miljövariabel, och värdetypen ska vara REG_EXPAND_SZ istället för REG_SZ.

Du måste redigera registret för att åtgärda sådana brister manuellt. Anteckna värdenamnet och värdedata i Notepad, ta bort värdenamnet från registret och skapa ett värde med samma namn och värdedata, men av typ REG_EXPAND_SZ.

RegistryChangesView-metoden som diskuteras i det här inlägget bör fungera på alla versioner av Windows, upp till Windows 10. Både 32-bitars och 64-bitars system stöds.