Як витягти ключі реєстру з точки відновлення системи в Windows

Знімки відновлення системи або тіньові копії томів містять вулики реєстру, а також важливі системні файли. Іноді вам може знадобитися витягти окремі ключі реєстру з попередньої точки відновлення, але ви не хочете виконувати повний відкат відновлення системи.

Раніше ми бачили, як відкрити вулики реєстру з тіньових копій за допомогою вкладки «Попередні версії» та завантажте кули реєстру щоб отримати необхідні ключі. Тепер є більш зручний варіант вилучення певних ключів реєстру з точки відновлення.

Перегляньте одну з найновіших утиліт від Nirsoft.net, під назвою RegistryChangesView. Хоча основною метою цієї програми є порівняння знімків реєстру Windows, її також можна використовувати для вилучення даних реєстру з існуючої тіньової копії або точки відновлення. Його можна використовувати для відновлення ключів реєстру, які могли бути випадково видалені.

Сценарій: Скажімо, ви випадково видалили службу Print Spooler і хочете відновити наступний розділ реєстру служби Print Spooler з точки відновлення.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Витягніть ключі реєстру з точки відновлення системи

1. Запустіть RegistryChangesView і налаштуйте його, як показано нижче.
   
2. Встановіть «Джерело даних реєстру 1». Поточний реєстр
3. Встановіть «Джерело даних реєстру 2». Тіньова копія
4. Виберіть один із шляхів тіньового копіювання зі списку.

   Найвищий пронумерований елемент у списку Шлях тіньового копіювання представляє останню тіньову копію або точку відновлення. Ви можете знайти список тіньових копій за допомогою vssadmin список тіней командний рядок з an Вікно командного рядка адміністратора. Щоб дізнатися більше, перегляньте статтю Як видалити окремі точки відновлення системи в Windows.

5. Виберіть відповідні вулики реєстру для порівняння. Для цієї статті ми встановимо лише наступний прапорець, оскільки це місце, де зберігаються ключі реєстру служб:

   HKEY_LOCAL_MACHINE\SYSTEM

6. Натисніть OK. RegistryChangesView перерахує та порівняє вибрані ключі у вихідному та цільовому вуликах реєстру та покаже результати.
7. У меню «Вид» увімкніть зазначений параметр Використовуйте швидкий фільтр. [Ctrl + Q]
8. У текстовому полі Швидкий фільтр введіть \spooler або послуги\спулер щоб відфільтрувати записи, де ключі починаються зі слова «spooler». Ідея полягає в тому, щоб обмежити результати лише наступними ключами та підключами.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

   
9. Виберіть усі записи (які містять вищевказану гілку) і натисніть Ctrl + Е щоб експортувати результати до файлу REG. Або натисніть Файл > Експортувати вибрані елементи у файл .Reg
10. Збережіть файл REG на робочому столі та відкрийте його за допомогою Блокнота.
    
11. Замініть кожне входження рядка ControlSet001 з CurrentControlSet, і збережіть файл.
    
12. Двічі клацніть файл REG, щоб додати його вміст (ключ «Spooler») до реєстру.

Тепер ви відновили відсутній ключ реєстру служби Print Spooler!

Невеликий збій

Одна невелика проблема, яку я помітив, полягає в тому, що поточна версія RegistryChangesView під час експорту записів до файлу REG записує розширювані рядкові значення як REG_SZ тип значення. Наприклад, ImagePath значення реєстру містить змінну середовища, а тип значення має бути REG_EXPAND_SZ замість REG_SZ.

Вам потрібно буде відредагувати реєстр, щоб виправити такі недоліки вручну. Запишіть ім’я значення та дані значення в Блокноті, видаліть ім’я значення з реєстру та створіть значення з тим самим ім’ям та даними значення, але типу REG_EXPAND_SZ.

Метод RegistryChangesView, який обговорюється в цій публікації, повинен працювати на будь-якій версії Windows, аж до Windows 10. Підтримуються як 32-розрядні, так і 64-розрядні системи.