Извлечение ключа реестра из резервной копии состояния системы NTBackup
Машина с Windows Server 2003 недавно умерла, но мне нужна некоторая информация, которая содержалась в реестре ныне несуществующего сервера. У меня есть файл резервной копии "Состояние системы", созданный встроенной программой резервного копирования Windows Server 2003 (NTBackup.exe). Есть ли способ извлечь ключ / значение из файла резервной копии?
Я мог бы выполнить установку Win2003 на аналогичную машину, а затем выполнить восстановление состояния системы, но это требует больших усилий, и я не знаю наверняка, что восстановление состояния системы будет работать на другой машине спецификации. (Будет ли это работать, если я загрузился в "безопасном режиме"?) Но я бы предпочел просто получить данные прямо из стилей zip-file-esque файла NTBackup, если это возможно.
2 ответа
Восстановите часть состояния системы из резервной копии на другом компьютере под управлением W2K3 или Windows XP, выбрав опцию "Отдельная папка" для "Восстановить файлы в" и выбрав несколько разумных "альтернативных расположений" (например, каталог, который вы создаете для этой цели). Вы будете предупреждены о том, что это "расширенная" функция и что не все файлы будут восстановлены. Для ваших целей это нормально.
Вы получите обратно большую часть каталога "%SystemRoot%\System32" (много DLL-файлов и т. Д.), А также реестр.
Оттуда, инструкции, которые Shial (который выглядит скорее как SHODAN) опубликовал правильный путь. Запустите "REGEDIT", выделите "HKEY_LOCAL_MACHINE" в локальном реестре, затем используйте опцию "File / Load hive...". Выберите файл из "Альтернативного расположения", соответствующий той части реестра, из которой вы хотите извлечь данные (эти файлы не имеют расширения):
- SYSTEM - HKEY_LOCAL_MACHINE\ System
- ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ - HKEY_LOCAL_MACHINE\Software
- БЕЗОПАСНОСТЬ - HKEY_LOCAL_MACHINE\ Безопасность
- SAM - HKEY_LOCAL_MACHINE\SAM
- ПО УМОЛЧАНИЮ - HKEY_USERS.Default
Выберите любое имя при загрузке улья, если оно не используется в HKEY_LOCAL_MACHINE. Вы "монтируете" этот улей в свой действующий реестр, мало чем отличаясь от монтирования тома NTFS в каталоге (за исключением того, что вам не нужно создавать раздел реестра для монтирования улья, как если бы вы были точкой монтирования NTFS).
Когда вы закончите, выгрузите улей, выделив ключ, в котором он смонтирован (HKEY_LOCAL_MACHINE\what_name_you_chose), и выполните "File / Unload hive...".
Я не много сделал с этим на сервере 2003, но он должен быть таким же, как в XP. Реестр представляет собой набор файлов, хранящихся в папке c:\windows\system32\config, различные файлы без каких-либо расширений (DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM) являются фактическими кустами реестра, и вы можете вручную смонтировать их в regedit, выбрав что-то вроде HKEY LOCAL MACHINE, затем перейдите в File и, выбрав опцию Load Hive, затем выберите файл, который вы извлекли, он должен попросить вас ввести имя для его импорта, после чего вы сможете получить к нему доступ изнутри. Он находится в подчинении, поэтому он не повлияет на ваш обычный реестр. Он должен быть загружен в один из основных ульев, в противном случае опция будет выделена серым цветом.