Файлы реестра Windows XP

Аватар пользователя GrandVitara


Файлы реестра Windows XP. Восстановление из резервной копии.

Примечание: описываемые в данной статье файлы можно увидеть в Windows XP при отключенной опции «Скрывать защищённые системные файлы(рекомендуется)» и включённой опции «Показывать скрытые файлы и папки» в меню «Сервис->Свойства папки», вкладка «Вид»

Часть первая.

Скорее всего вы сталкивались с реестром Windows и использовали редактор реестра regedit.exe.

В программе regedit реестр выглядит как дерево файлов в проводнике. А что-же он представляет собой на самом деле? Это база данных, физически расположенная в нескольких отдельных файлах. Напрямую редактировать эти файлы с помощью текстового редактора невозможно, как невозможно, например, редактировать файлы MSSQL Server. Некоторые путают реестр с программой regedit.exe, которая непосредственно не является реестром, а
всего лишь предоставляет пользователю интуитивно-понятный интерфейс доступа к данным содержащимся в этих файлах.

Давайте рассмотрим эти файлы и их местоположение, эта информация может быть полезна при восстановлении загрузки системы или лечении вирусов.
Основная часть файлов реестра лежит в каталоге:
%SystemRoot%\system32\config
%SystemRoot% - это папка Windows на жёстком диске, чаще всего %SystemRoot%="C:\Windows", но бывает и "D:\Windows" и др. в зависимости от того на какой логический диск установлена ОС.

Рассмотрим их по порядку.
DEFAULT - содержимое этого файла отображается в редакторе реестра в разделе [HKEY_USERS\DEFAULT]

SAM — в целях безопасности отображается в редакторе реестра как пустой раздел [HKEY_LOCAL_MACHINE\SAM] однако является очень важным разделом, хранящим в зашифрованном виде информацию о пользователях операционной системы и их паролях. (SAM-Security Account Manager, менеджер учётных записей безопасности)

SECURITY — содержимое этого файла отображается в редакторе реестра в разделе [HKEY_LOCAL_MACHINE\SECURITY]

SOFTWARE — отображается в разделе [HKEY_LOCAL_MACHINE\SOFTWARE]

SYSTEM - отображается в разделе [HKEY_LOCAL_MACHINE\SYSTEM]

Файлы с расширением .sav являются резервными копиями соответствующих файлов реестра на момент первоначальной установки ОС.

Следующие несколько файлов относятся непосредственно к профилям пользователей. Давайте рассмотрим их по порядку.

%SystemDrive%\Documents and Settings\LocalService\NTUSER.DAT отображается в разделе [HKEY_USERS\S-1-5-19] где %SystemDrive% логический диск на который установлена ОС. (относится к учетной записи LocalService)

%SystemDrive%\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat отображается в ветке [HKEY_USERS\S-1-5-19_classes]

%SystemDrive%\Documents and Settings\NetworkService\NTUSER.DAT отображается в разделе [HKEY_USERS\S-1-5-20] где %SystemDrive% - логический диск на который установлена ОС. (относится к учетной записи NetworkService)

%SystemDrive%\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat отображается в ветке [HKEY_USERS\S-1-5-20_classes]

%USERPROFILE%\ntuser.dat отображается в разделе [HKEY_USERS\] где %USERPROFILE% - каталог местоположения профиля пользователя, на рисунке ниже это «C:\Documents and Settings\userok\» Здесь хранится информация о настройках профиля данного пользователя.

%SystemDrive%\Documents and Settings\\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat отображается в ветке [HKEY_USERS\_classes] где %SystemDrive% логический диск на который установлена ОС.

В случае повреждения какого-либо из этих файлов, например вследствие появления битых блоков на жёстком диске, загрузка операционной системы может сталь невозможной. Однако имеется возможность восстановить их из резервной копии при условии, что включено «Восстановление системы»(по умолчанию включено в официальных дистрибутивах от Microsoft, но иногда отключают сами пользователи ради экономии места на жёстком диске). Итак, куда же Windows сохраняет файлы точек восстановления?

1) Некоторые файлы сохранены в каталоге %SystemRoot%\repair. Однако выполнять восстановление из этой папки не рекомендуется т. к. скорее всего резервная копия здесь будет не первой свежести.
2) В скрытый каталог %SystemDrive%\System Volume Information. Именно отсюда следует восстанавливать реестр и именно здесь ОС создаёт свои точки восстановления. Но при загруженной ОС попасть туда не так просто. При попытке зайти туда появляется диалоговое окно «Отказано в доступе». Так-же неудачным окажется попытка входа сюда при загрузке с liveCD или при подключении жёсткого диска к другому компьютеру. Далее будет рассмотрен пошагово процесс восстановления файла реестра C:\Windows\system32\config\system из каталога System Volume Information при помощи оригинального установочного диска Windows XP.

Часть вторая. Восстановление из резервной копии.

Представим ситуацию, что Windows XP не может загрузиться и в самом начале загрузки пишет на чёрном экране что-то типа «...file system32\congig\system is missing or corrupt...», из этого сообщения видно что файл реестра system скорее всего пропал со своего насиженного места. Периодически такое происходит не всегда по вполне понятным причинам, но чаще всего из-за сбойных секторов жёсткого диска или резком пропадании электропитания (Use UPS, Luke, use UPS!).
В таких случаях первым делом рекомендуется проверить жёсткий диск на наличие повреждённых секторов и сделать ремаппинг такими бесплатными утилитами как MHDD или Victoria, попробовать после этого загрузить компьютер и только затем выполнять действия, изложенные ниже:

1) Вставить загрузочный диск Windows XP в CD/DVD привод вашего компьютера.
2) В BIOS или загрузочном меню выставить первоначальную загрузку с CD-ROM (горячие клавиши вызова меню, входа в BIOS зависят от модели материнской платы и типа BIOS)
3) Перезагрузиться и следовать инструкциям мастера установки до тех пор не появится предложение восстановить Windows с помощью консоли восстановления нажав клавишу на клавиатуре. Нажимаем.
4) Появится предложение выбрать особую раскладку клавиатуры. Ничего не нажимаем, ждём несколько секунд.
5) Появится нумерованный список установленных ОС Windows и вопрос в какую копию Windows следует выполнить вход. Вводим с клавиатуры соответствующий номер из списка и нажимаем
6) Вводим пароль администратора и нажимаем . Если пароль не используется, тогда просто нажимаем .
7) По умолчанию мы оказались в системном каталоге C:Windows . Перейдём на уровень выше в каталог C:\ командой cd ..
Переходим в каталог System Volume Information набрав команду: cd «System Volume Information».
8) Командой dir выводим содержимое текущего каталога:

9) Точки восстановления хранятся в каталогах _restore{системный_номер_точки восстановления}. Скорее всего нас интересует последняя точка. Ищем её по дате. В нашем случае это restore_{E1C68166-3FCB-4D71-880C-65615955AE3C}. Переходим в этот каталог с помощью команды: cd restore_{E1C68166-3FCB-4D71-880C-65615955AE3C} и с помощью команды dir смотрим её содержимое:

10) Ищем последнюю по дате папку, начинающуюся с букв PR (restore point), в нашем примере это RP27, переходим в нее командой cd RP27 и командой dir просматриваем содержимое:

11) Всё необходимое нам находится в каталоге snapshot (снимок) перейдём в него: cd snapshot и просмотрим содержимое dir. Файлы, начинающиеся с _REGISTRY_ и есть резервные копии файлов реестра, какой именно ветки нетрудно определить по названию, например, файл _REGISTRY_MACHINE_SYSTEM является копией файла %SystemRoot%\system32\config\system

12) Нам осталось скопировать его из каталога точки восстановления C:\System Volume Information\restore_{E1C68166-3FCB-4D71-880C-65615955AE3C}\RP27\SNAPSHOT\ в его родной каталог вместо повреждённого файла C:\Windows\system32\config\system. Для этого воспользуемся командой copy:
copy C:\System Volume Information\restore_{E1C68166-3FCB-4D71-880C-65615955AE3C}\RP27\SNAPSHOT\_REGISTRY_MACHINE_SYSTEM C:\Windows\system32\config\system
Если исходный файл C:\Windows\system32\config\system есть на диске и повреждён, тогда появится предложение о замене его новым, соглашаемся. Появится сообщение: Скопировано 1 файлов.
13) Перезагружаем компьютер и радуемся работоспособной операционной системе.

Такой же алгоритм действий потребуется и для восстановления других файлов реестра.

Эта статья опубликована под Creative Commons Attribution ShareAlike лицензией.

Добавить комментарий