Сегодняшняя Косопандовая заметка пригодится начинающему системному администратору, речь пойдёт про файлы реестра windows 7 и файлы реестра windows XP. Довольно часто бывает необходимо восстановить работоспособность операционки загубленной вирусом, косорукой правкой реестра или некорректным драйвером, как это можно сделать? Оказывается очень даже просто!
Для начала о самих файлах реестра windows 7 (от XP больших отличий нет):
# динамически формируется в зависимости от оборудования "HKEY_LOCAL_MACHINE\HARDWARE" # генерится из файла расположенного в "%SystemRoot%\Boot\BCD" "HKEY_LOCAL_MACHINE\BCD00000000" # это файл "%SystemRoot%\System32\config\SYSTEM" "HKEY_LOCAL_MACHINE\SYSTEM" # файл "%SystemRoot%\System32\config\SOFTWARE" "HKEY_LOCAL_MACHINE\SOFTWARE" # берётся из файла "%SystemRoot%\System32\config\SECURITY" "HKEY_LOCAL_MACHINE\SECURITY" # из файла "%SystemRoot%\System32\config\SAM" "HKEY_LOCAL_MACHINE\SAM" # формируется из файла "%SystemRoot%\System32\config\DEFAULT" "HKEY_USERS\.DEFAULT" # из файла "%SystemRoot%\System32\config\systemprofile\NTUSER.DAT" (это учетка system) "HKEY_USERS\S-1-5-18" # загружается из файла "%SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT» (LocalService) "HKEY_USERS\S-1-5-19" # из файла "%SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT" (NetworkService) "HKEY_USERS\S-1-5-20" # импортируется из файла "%USERPROFILE%\NTUSER.DAT" "HKEY_USERS\<SID_пользователя>" # формируется из файла "%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat" "HKEY_USERS\<SID_пользователя>_Classes"
Резервные копии файлов реестра SAM, DEFAULT, SOFTWARE, SECURITY и SYSTEM находятся в папке «%SystemRoot%\System32\config\RegBack» (Windows 7). Резервное копирование производится планировщиком в 00:00, каждые полторы недели. (Обратите внимание что при установке системы, файлы реестра Windows XP и Windows 7 копируются в «%SystemRoot%\repair» и могут быть восстановлены, правда в этом случае получаем систему с девственно чистым реестром — без драйверов и остальной ерунды)
Дополнительным местом где можно поискать файлы реестра, является директория System Volume Information, на системном диске. В ней содержится папка «_restore {GUID}\Snapshot», которая также содержит копии веток реестра переименованные в:
_REGISTRY_USER_DEFAULT _REGISTRY_MACHINE_SECURITY _REGISTRY_MACHINE_SOFTWARE _REGISTRY_MACHINE_SYSTEM _REGISTRY_MACHINE_SAM
Теперь о программах для работы с реестром оффлайн:
1. Внести изменения в реестр неисправного компьютера можно обычным regedit’ом, подцепив жёсткий диск убитой системы к рабочей машине, через опции Файл -> Загрузить куст, Файл -> Выгрузить куст.
2. Воспользовавшись платной программой Registry Workshop.
3. С помощью бесплатной программы RegWorks, написанной Евгением Лоскутковым аж в 2006 году.
4. И наконец подредактировать в оффлайне файлы реестра Windows 7, можно с помощью dos утилиты Offline Windows Password & Registry Editor (на сайте есть boot CD, так что задача значительно упрощается)
Мой личный выбор, это 2 и 4 пункты в зависимости от ситуации. В качестве бонуса к вышеупомянутому функционалу, у Registry Workshop есть возможность сравнивать ветки реестра и делать резервные копии. (Кстати часть этих функций есть и у RegWorks). На этом всё, успешного ковыряния косореестра 