Mitec windows registry recovery как пользоваться

Обновлено: 02.07.2024

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Баркалов Юрий Михайлович, Бабкин Александр Николаевич

Приводится описание способов исследования компьютерной информации в системах WINDOWS NT при проведении экспертиз. Даётся описание программ, предназначенных для восстановления и поиска компьютерной информации .

Текст научной работы на тему «Экспертиза компьютерной информации в системах Windows nt»

Экспертно-криминалистический центр ГУВД по Воронежской области

кандидат технических наук

ЭКСПЕРТИЗА КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ В СИСТЕМАХ WINDOWS NT

EXPERTISE OF COMPUTER INFORMATION IN THE WINDOWS NT SYSTEMS

The methods of expertise of computer information in the Windows NT systems are considered. It is suggested the description of the programmes for restoration and search of computer information.

В настоящее время одним из важных направлений деятельности экспертных подразделений ОВД является проведение компьютерных экспертиз, исследование информации на различных носителях. При проведении компьютерной экспертизы в первую очередь необходимо обеспечить сохранность информации на исследуемых носителях, например накопителях на жёстких магнитных дисках (НЖМД), различных flesh -носителях и других [1].

Самым простым способом сохранения компьютерной информации является блокировка записи по USB порту при подключении через данный интерфейс исследуемых носителей. При этом необходимо или наличие переходных устройств HDD - USB (например, SATA - USB или IDE - USB) и соответствующего программного обеспечения (например, «NCFS Software Write-block XP»), или отключение записи по USB порту в реестре изменением значения «WriteProtect».

Данные реестра для блокировки записи:

«W riteP rotect»=dword :00000001

Данные реестра для снятия блокировки записи:

Приведённые данные блокировки актуальны только в среде Windows XP. Кроме того, данную блокировку можно провести механическим способом путём отключения канала записи. Возможно подключение НЖМД в среде Linux путём их «монтирования» с запретом записи.

В ряде случаев, например при исследовании НЖМД с RAID массивами либо отсутствии соответствующих HDD - USB адаптеров, производится создание образа разделов исследуемого НЖМД или их клонирование. Данный способ требует значительных затрат времени и обязательного наличия соответствующего объема НЖМД, на который производится клонирование.

Полученный образ диска можно подключать как физический или логический диск или после обработки, например в программе «VMware Converter», загружать как виртуальную машину в «VMware Workstation».

В ряде случаев клонированный диск можно использовать для загрузки с исследуемого системного блока.

Для создания образов или клонирования разделов НЖМД можно использовать программы создания резервных копий «Acronis True Image», «Norton Ghost» и др. Наиболее приемлемой является программа «Acronis Advanced Server» из-за возможности работы с дисковыми массивами серверов.

При производстве исследования первым шагом является установление структуры исследуемого носителя информации в случае отображения памяти носителя как логического диска. Для этого можно использовать программы «Acronis Disk Director Suit», «Everest Ultimate Edition» или аналогичные им. При этом определяются тип файловой системы, общий и занимаемый файлами объём, наличие скрытых и шифрованных разделов, определение наличия и характеристик операционной системы.

Перед началом поиска информации необходимо выполнить восстановление удалённой информации, при этом восстановление информации следует выполнять с использованием различных специализированных программных продуктов. С положительной стороны для восстановления информации следует отметить программу «Easy Recovery Professional». Однако целесообразно использовать комплекс различных программ, в том числе производить восстановление с использованием HEX редакторов, например при восстановлении с использованием сигнатуры файла, что возможно и в «Easy Recovery Professional». Большинство вариантов для восстановления уже имеются в базе «типов файлов». При необходимости восстановления файла с использованием сигнатуры указывается сигнатура в шестнадцатеричном формате, максимумом 8 байт и смещение сигнатуры относительно нуля.

Особое внимание следует уделить восстановлению графических, мультимедийных файлов и файлов, созданных приложениями «Microsoft office».

Следует отметить, что восстанавливаются только фрагменты графических файлов, мультимедийные файлы могут и не подлежать восстановлению.

Следует иметь в виду то, что «Microsoft office» является, по сути, интерпретатором и в созданных им файлах сохраняются все команды.

Для исследования компьютерной информации можно использовать специализированные комплексы, например РС3000.

Комплекс PS3000 предназначен для восстановления информации, в том числе и с физически неисправных НЖМД.

В состав PS3000 входит программно-аппаратный комплекс «Data Extractor UDMA», являющийся профессиональным инструментом для восстановления данных. С применением данного комплекса возможно как копирование отдельных данных, в том числе и удалённых, так и создание «клона» разделов НЖМД.

Комплекс PS3000 позволяет восстановить информацию с повреждённых носителей в следующих случаях:

- повреждения поверхности или блока магнитных головок;

- разрушения «служебной информации», приводящие к неустойчивому чтению и множественным ошибкам;

- нарушения системы сопоставления логического дискового пространства (LBA) с физической геометрией НЖМД (транслятора).

При восстановлении информации с повреждённых носителей при использовании PS3000 необходимо учитывать характеристики НЖМД конкретных производите-

лей. Для каждого НЖМД конкретных производителей имеется соответствующий набор специализированных утилит. Полное использование комплекса требует наличия определенной подготовки и знаний аппаратной и технической части НЖМД, однако использование комплекса для восстановления информации в ряде некритичных случаев (поломок НЖМД) затруднений не вызывает.

К задачам поиска информации при проведении компьютерной экспертизы относят:

- поиск текстовой информации по ключевым словоформам;

- поиск графической информации по заданным критериям;

- поиск текстовой и графической информации по соответствию предоставленным образцам;

- поиск информации о сетевых подключениях (выход в сеть Internet);

- поиск программных продуктов и др.

Для поиска текстовой информации используются стандартные средства поиска «Windows», программы «Архивариус 3000», «AVSearch 3.12a» и встроенные средства поиска файловых менеджеров.

Поиск графической информации проводится путём просмотра графических файлов. Важно заметить, что изображения также могут содержаться, например, в файлах, созданных приложениями Office, однако данные файлы графическими являться не будут.

При поиске информации, свидетельствующей о выходе в сеть Internet, возможен следующий алгоритм действий:

- определить используемые пользователем операционной системой браузеры;

- определить имя компьютера;

- определить наличие доступа к сетевым ресурсам и электронной почты.

Для определения используемых пользователем операционной системой браузеров необходимо провести просмотр файлов, как правило, директории «Program Files» и реестра операционной системы. При этом не стоит исключать возможность того, что могут быть использованы версии, не требующие установки. После этого необходимо установить историю работы браузеров.

Рассмотрим три наиболее распространённых браузера «Internet Explorer», «Opera» и «Mozilla Firefox».

История работы с программой «Internet Explorer» за весь период содержится в файле «index.dat» из каталогов «:\Documents and Settings\(пользователь)\Local Settings\Temporary Internet Files\Content.IE5\» и «:\Documents and Settings\(пользователь)\Local Settings\History\History.IE5\» (где (пользователь) — имя пользователя, от чьего имени осуществлялся вход в операционную систему).

Сookie-файлы хранятся в директории «:\Documents and Settings \ (пользователь) \ Cookies\». Для просмотра истории работы можно использовать программу «IEHistoryView».

История работы с программой «Opera» содержится в директории «:\Documents and Settings\(пользователь)\Application Data\Opera\Opera\profile\».

Для просмотра истории работы можно использовать программу «Opera File Explorer».

«\Documents and Settings\шнурок\Application Data\Mozilla\Firefox\ Profiles\(имя профиля)».

Для просмотра истории работы можно использовать программу

Определить имя компьютера можно путём просмотра ветви реестра «[HKEY_LOCAL_MACHINE\sy stem\C ontrol Set001 \C ontrol\C omputer Name\C om puterName».

Определить «SID» (идентификатор безопасности, структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, домена или компьютера) можно путём просмотра ветви реестра «[HKEY_LOCAL_MACHINE\SOFTWARE\Software\Microsoft\Windows NT\CurrentVersion \ProfileList».

Просмотром системного журнала, который можно осуществить с помощью программы «Event Log Explorer», устанавливается протоколирование событий, связанных с работой операционной системы для доступа к сетевым ресурсам. Данный журнал расположен в файле «SysEvent.Evt» директории «:\WINDOWS\system32\ config\».

Просмотром реестра операционной системы определяются данные конфигурации TCP/IP, а также сведения об IP адресе и маски подсети. Упрощает эти действия использование программы «MiTeC Windows Registry Recovery».

В файле Rasphone.pbk, расположенном в директории «:\Documents and Settings\All Users\Application Data\ Microsoft\Network\Connections\Pbk\», содержится информация подключений для доступа в сеть Internet с использованием модемного DUAL-UP соединения.

Для определения обстоятельств установки и использования программных продуктов и оборудования необходимо провести следующие мероприятия:

- исследование установленного контрафактного обеспечения;

- исследование параметров и регистрационных данных программного обеспечения;

- исследование следов использования программного обеспечения и оборудования.

Для определения проведённых действий операционной системой семейства

«Windows NT» производится просмотр журналов работы операционной системы, содержащихся в файлах «SysEvent.Evt» (является журналом событий системы, используемым реестром «Windows») и «AppEvent.Evt» (является журналом событий приложений, используемым реестром «Windows»), расположенных в директории

«:\WINDOW S\system32\config\» [2].

Просмотром данных журналов можно определить:

- временные рамки работы операционной системы;

- временные рамки запуска ряда программных продуктов, отображаемых в журнале работы операционной системы «Windows»;

- временные рамки подключения — отключения сетевых ресурсов (сетевого адаптера), запуск которых отображается в журнале работы операционной системы «Windows», и ряд других параметров.

Ниже приведены некоторые коды, отображающие работу с сетевыми ресурсами:

- код Event ID - 4201 — сообщает о подключении сетевого адаптера: «Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_ был подключён к сети, и инициировала нормальную работу через этот сетевой адаптер»;

- код Event ID - 1077 — сообщает о получении IP-адреса для сетевого адаптера: «Компьютер автоматически настроил IP-адрес для сетевого адаптера»;

- код Event ID - 4202 — сообщает об отключении сетевого адаптера: «Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_ был отключён от сети, и сетевая конфигурация этого адаптера была освобождена».

На рисунке приведен пример данной ветви реестра.

Ряд данных хранится в ключах реестра в файлах: «System», «Default», «SAM», «SECURITY», «Software» из директории \WINDOWS\system32\config\.

Приведём пример информации об установке программного продукта «1С» из

[HKEY_LOCAL_MACHINE\SOFTWARE\1C\1Cv7\7.7\1С:Предприятие (Сетевая версия)

«1CPath»=«C:\Program Files\1CV77.ADM\BIN\1Cv7.exe «1CFolder»=«1C Предприятие 7.7»

На этом примере видны наименование программного продукта и пути установки.

В случае подключения НЖМД через HDD-USB адаптер защита BIOSа паролем неактуальна.

Для снятия шифрования дисков директорий или файлов средствами «Windows» существуют несколько способов:

- использование программы « r-studio»;

- загрузки компьютера со сменных носителей с использование DOS-программ, причём при работе из-под DOS практически никаких следов на атакованном ПК не остаётся (кроме даты последнего доступа к файлам в их атрибутах);

- загрузки компьютера со сменных носителей с использованием Linux-программ;

- использование содержимого файла подкачки и временных файлов, в которых может оказаться конфиденциальная информация;

- подмена «разрешений» и «владельца субконтейнеров и объектов» в случае клонирования или создания образа разделов исследуемых НЖМД. Замену можно про-

извести при отключённом параметре «Использовать простой общий доступ к файлам» проводника «Windows»;

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

- сброс и замена учётных имен и паролей пользователя.

Для снятия пароля, установленного на НЖМД, можно использовать средства РБ3000.

Таким образом, рассмотренные механизмы поиска информации, обеспечения её сохранности на исследуемых носителях, обстоятельств установки и использования программных продуктов и оборудования, поиска информации, свидетельствующей о выходе в сеть 1п1егпе1;, позволяют успешно проводить компьютерные экспертизы, обеспечивающие восстановление, сохранность и анализ исследуемой информации.

1. Терминологический справочник судебной компьютерной экспертизы. Справочное пособие. — М.: ЭКЦ МВД России, 2005. — 56 с.

2. Сердюк В. А. Новое в защите от взлома корпоративных сетей. — М.: Техносфера, 2007. — 360 с.

MiTeC Windows Registry Recovery

Программа разделена на удобные модули просмотра той или иной информации. Они отображаются в правой части окна программы.

Описание модулей программы:
- Информация о файле
Здесь отображается информация о файле реестра, его контрольные суммы, в общем, самая общая информация.

- Защищенные группы ключей
Здесь отображается информация обо всех защищенных группах ключей системного реестра с указанием ключей, на которые распространяется данная группа, а также о правах доступа к этой группе ключей. Этот раздел доступен только при просмотре файлов реестра систем на базе NT.

- SAM
Здесь отображается идентификатор безопасности (SID), а также часть системного пароля (SYSKEY). Этот раздел доступен только при просмотре файлов реестра систем на базе NT.

- Информация о Windows
Здесь отображается информация об операционной системе, Product Key, Product ID, версия системы и сервис-пака, регистрационные данные пользователя, дата установки и путь к директории Windows.

- Информация пользователя
Здесь отображается имя пользователя, имя компьютера, а также меню Пуск данного пользователя.

- Автозапуск
Здесь отображаются данные о программах, стартующих вместе с системой.

- Сервисы и драйверы
Здесь отображается информация о программах, запускающихся в системе как сервисы, а также информация о драйверах ядра. Этот раздел доступен только при просмотре файлов реестра систем на базе NT.

- Конфигурация сети
Здесь отображается информация об установленных клиентах, сервисах, протоколах, а также о конфигурации TCP/IP.

- Переменные среды
Здесь отображается информация о переменных среды и их значениях.

- Режим RAW-отображения
Здесь можно посмотреть открытый файл куста, как в RegEdit.

Следует помнить, что некоторые модули программы будут работать в зависимости от загруженной ветви реестра. Например, если вы загрузили пользовательскую ветвь (USER), не надейтесь увидеть конфигурацию оборудования, так как она в ветке SYSTEM. То же самое наоборот, если загружена ветка SYSTEM, бессмысленно пытаться увидеть данные пользователя и содержимое меню Пуск.

Также в программе есть экспорт содержимого ветви в reg-файл, а также сохранение отчета в CSV. Непосредственно reg-файлы программа не открывает, только физические файлы реестра, то есть файлы кустов.

Сокрытие ключей реестра от программ, работающих с неактивным реестром, при сохранении возможности обычной работы с этими ключами стандартными средствами операционной системы Windows (в составе активного реестра) может быть использовано для достижения двух целей:

сокрытие внесенных в реестр изменений от криминалистического исследования (например, сокрытие ключей определенного сервиса, которые будут корректно прочитаны и использованы операционной системой Windows в процессе загрузки, но не будут видны для сторонних программ, работающих с неактивным реестром, во время исследования накопителя);
сокрытие внесенных в реестр изменений от предзагрузочного контроля целостности (например, внесение таких изменений в ключи реестра, которые не будут видны для модулей доверенной загрузки во время контроля целостности, но будут видны для самой операционной системы Windows).

Как это происходит?

Реестр Windows состоит из двух частей: энергозависимая часть (ключи реестра и значения, которые будут потеряны после отключения куста из-за того, что они не сохраняются в файл; пример: ключ «CurrentControlSet» куста «SYSTEM»), энергонезависимая часть (синхронизируется с файлом куста реестра).

Поскольку во время записи энергонезависимой части в файл куста необходимо обеспечить целостность сохраняемых данных (например, в случае сбоя электропитания, прерывающего операции записи данных), ядро Windows использует журналирование реестра — записываемые данные сохраняются сначала в файл журнала (этот файл находится в одной директории вместе с основным файлом и имеет расширение «.LOG», «.LOG1» или «.LOG2») и только потом в основной файл куста (если запись в файл журнала не будет успешно завершена, то основной файл останется целым и нетронутым, а если запись в основной файл не будет успешно завершена, то его целостность можно восстановить с помощью данных из журнала, которые были успешно записаны до сбоя).

Предлагаемый способ сокрытия ключей (и их значений, а также других элементов) заключается в сохранении соответствующих данных только в журнал, но не в основной файл куста реестра. Сторонние программы, работающие с неактивным реестром, в подавляющем большинстве случаев игнорируют файл (файлы) журнала, а потому ключи реестра, хранимые в журнале, но не в основном файле, будут невидимыми для этих программ. Ядро Windows, с другой стороны, использует журнал для восстановления целостности куста при его подключении, а потому обсуждаемые ключи будут видимыми для ядра и, соответственно, других запущенных программ.

Для блокирования записи в основной файл куста можно использовать отладочный механизм, который появился в Windows Vista. Для понимания сути этого механизма необходимо рассмотреть появившуюся в Windows Vista схему журналирования.

Журналирование до Windows Vista

В Windows XP и более ранних версиях Windows каждому энергонезависимому кусту реестра соответствует один основной файл и один файл журнала. Исключением из этого правила является куст SYSTEM в Windows 2000 и более ранних версиях Windows, который зеркалируется (в файл с именем «system.alt»), а не журналируется, чтобы упростить код загрузчика (который должен загрузить в память указанный куст) и не добавлять в него поддержку восстановления из журнала (под зеркалированием понимается поочередная запись данных в два основных файла, которые в результате будут иметь одинаковую логическую структуру ключей, значений и других элементов).

Журналирование происходит путем компактного (без выравнивания по смещениям) сохранения в файл журнала подлежащих записи в основной файл данных вместе со структурой — битовой картой секторов основного файла, которая позволяет определить, по каким смещениям нужно записать в основной файл блоки данных из файла журнала. Если при подключении куста будет установлено, что в его основной файл не была завершена запись данных, то будут прочитаны блоки из файла журнала, определены (с помощью битовой карты) смещения этих блоков в основном файле, а затем эти блоки будут записаны в основной файл, таким образом завершая ранее прерванную из-за сбоя запись.

Подобная схема имеет существенный недостаток — если во время записи в основной файл произойдет ошибка ввода-вывода (например, из-за попытки записи в сбойный сектор), то дальнейшие операции синхронизации куста с основным файлом окажутся невозможными до перезагрузки компьютера (даже в том случае, если сбойный сектор будет нейтрализован переназначением секторов на уровне драйвера файловой системы или хранилища). Это происходит из-за того, что журналирование каждый раз очищает файл журнала от старых данных, а значит ошибка записи в основной файл приведет к нарушению целостности этого файла, и новая попытка синхронизации куста потребует стирания данных из журнала, который остался единственным способом восстановить уже нарушенную целостность основного файла.

Следовательно, если такое стирание журнала допустить, возможно возникновение ситуации, когда из-за нового сбоя будет нарушена целостность единственного файла журнала, при этом целостность основного файла была нарушена предыдущим сбоем.

Журналирование начиная с Windows Vista (до Windows 8.1)

Для решения проблемы синхронизации куста с основным файлом в условиях повторяющихся сбоев была реализована схема двойного журналирования. В этой схеме каждому основному файлу соответствуют два файла журнала (с расширениями «.LOG1» и «.LOG2»). По умолчанию используется первый файл журнала («.LOG1»).

Если при записи в основной файл произошла ошибка, то происходит смена файла журнала (с «.LOG1» на «.LOG2» и наоборот). Таким подходом обеспечивается постоянное наличие корректного файла журнала, в котором есть данные от предыдущей попытки синхронизации. В результате сбой во время записи в файл журнала (после сбоя во время записи в основной файл) не приведет к неисправимому нарушению целостности куста реестра (кстати говоря, если такая ситуация все же возникнет, в ядре Windows есть механизмы самовосстановления, исправляющие явные ошибки в логической структуре куста).

Но такую схему журналирования нужно отладить, а потому в ядро Windows была внедрена переменная, позволяющая имитировать повторяющиеся ошибки записи в основные файлы всех кустов реестра, — CmpFailPrimarySave. По неизвестным причинам эта переменная есть и в обычных версиях ядра (а не только в отладочных версиях). Если в эту переменную записать некоторое значение, отличное от нуля, то функция записи данных в основной файл будет имитировать ошибку на разных этапах такой записи.

Следует отметить, что в процессе подключения куста реестра ядро должно выбрать, какой из двух файлов журнала использовать для восстановления, для чего реализуется относительно сложный алгоритм, определяющий, какой из файлов журнала сохранил целостность, какой из них содержит более позднюю версию записываемых данных и т. д. До Windows 8 этот алгоритм содержал серьезную ошибку, в результате которой почти во всех случаях, вне зависимости от конкретных деталей, выбирался первый файл журнала («.LOG1»). В частности, для Windows 7 соответствующие исправления алгоритма были выпущены лишь в марте 2016 года (следовательно, все это время двойное журналирование в Windows 7 предоставляло защиту целостности не лучше, чем Windows XP). Для преодоления описанной ошибки необходимо не только блокировать запись в основной файл куста, но и блокировать переход ко второму файлу журнала («.LOG2») в случае сбоя (чтобы первый файл журнала всегда содержал наиболее поздние данные, пусть даже и в ущерб целостности в случае сбоя; в противном случае при следующей загрузке системные кусты реестра могут быть восстановлены в состояние, неожиданно более раннее, чем при завершении штатного выключения компьютера). К счастью, следующее значение обсуждаемой переменной позволяет достигнуть желаемого эффекта без смены файла журнала — 3.

Эта же переменная будет работать так же и в более новых версиях Windows (8.1 и 10), где применяется другой способ журналирования (вне рамок данной статьи).

Эксперимент

В качестве эксперимента создадим невидимые ключ и его значение в операционной системе Windows 7 (Service Pack 1). Для этого в запущенной операционной системе изменим (редактированием памяти) значение переменной ядра CmpFailPrimarySave с 0 на 3, а затем создадим ключ реестра «HKEY_LOCAL_MACHINE\SYSTEM\invisible_key» со значением с именем «invisible_value», содержащим строку «123456». Затем выключим операционную систему штатным способом и экспортируем файлы куста реестра SYSTEM.

После повторного включения операционной системы запустим редактор реестра и отметим, что искомые ключ и значение в нем видны (рис. 1).

Рис. 1: Редактор реестра Windows

В то же время в экспортированных файлах реестра искомые ключ и значение сторонние программы (например, Windows Registry Recovery и Registry Explorer) не отображают (рис. 2 и 3).

Рис. 2: Windows Registry Recovery

Рис. 3: Registry Explorer

Если по той или иной причине в Windows 10 возникли проблемы с записями в реестре или с самими файлами реестра, система располагает простым и обычно работающим способом выполнить восстановление реестра из автоматически создаваемой резервной копии. См. также: Все материалы про восстановление Windows 10.

В этой инструкции подробно о том, как восстановить реестр из резервной копии в Windows 10, а также о других вариантах решения проблем с файлами реестра при их возникновении, если обычный способ не работает. И заодно информация о том, как создать собственную копию реестра без сторонних программ.

Как восстановить реестр Windows 10 из резервной копии

Резервная копия реестра Windows 10 автоматически сохраняется системой в папке C:\ Windows \ System32\ config\ RegBack\

Сами же файлы реестра находятся в C:\ Windows \ System32\ config\ (файлы DEFAULT, SAM, SOFTWARE, SECURITY и SYSTEM). Важно: не используйте способ в версиях 1803, 1903 и новее, если не включали сохранение копии реестра — к сожалению, начиная с Windows 10 версии 1803 файлы реестра по умолчанию не сохраняются автоматически в указанной папке (но там могут находиться пустые файлы, заменять которыми реестр не нужно). Но вы можете включить их сохранение на будущее (см. Как включить создание резервной копии реестра в папке RegBack).

Соответственно, для восстановления реестра, достаточно скопировать файлы из папки RegBack (там они обычно обновляются после обновлений системы, затрагивающих реестр) в папку System32\ Config.

Сделать это можно и простыми средствами системы, при условии, что она запускается, но чаще это не так, и приходится использовать другие пути: обычно, производить копирование файлов с помощью командной строки в среде восстановления Windows 10 или загрузившись с дистрибутива с системой.

Далее будет предполагаться, что Windows 10 не загружается и мы выполняем шаги для восстановления реестра, которые будут выглядеть следующим образом.

Если вы можете попасть на экран блокировки, то на нем нажмите по кнопке питания, изображенной справа внизу, а затем, удерживая Shift, нажмите «Перезагрузка». Загрузится среда восстановления, выберите «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Командная строка».
Если экран блокировки недоступен или вы не знаете пароля учетной записи (который придется ввести в первом варианте), то загрузитесь с загрузочной флешки Windows 10 (или диска) и на первом экране установки нажмите клавиши Shift+F10 (или Shift+Fn+F10 на некоторых ноутбуках), откроется командная строка.
В среде восстановления (и командной строке при установке Windows 10) буква системного диска может отличаться от C. Чтобы выяснить, какая буква диска назначена системному разделу, введите по порядку команды diskpart, затем — listvolume, и exit (в результатах выполнения второй команды отметьте для себя, какую букву имеет системный раздел). Далее, для восстановления реестра используйте следующую команду
Xcopy c:\windows\system32\config\regback c:\windows\system32\config (и подтвердите замену файлов, введя латинскую A).

По завершении выполнения команды, все файлы реестра будут заменены своими резервными копиями: вы можете закрыть командную строку и перезагрузить компьютер, чтобы проверить, была ли восстановлена работоспособность Windows 10.

Дополнительные способы восстановления реестра

Если описываемый способ не работает, а какого-то стороннего ПО для создания резервных копий использовано не было, то из возможных решений остаются лишь:

(они содержат в себе и резервную копию реестра, но по умолчанию они у многих отключены). (в том числе и с сохранением данных).

Помимо прочего, на будущее вы можете создать собственную резервную копию реестра. Для этого достаточно выполнить следующие простые шаги (нижеописанный способ — не самый лучший и есть дополнительные, см. Как создать резервную копию реестра Windows):

Запустите редактор реестра (нажмите Win+R, введите regedit).
В редакторе реестра, в левой панели выберите «Компьютер», кликните по нему правой кнопкой мыши и выберите пункт меню «Экспортировать».
Укажите место сохранения файла.

Сохраненный файл с расширением .reg и будет вашей резервной копией реестра. Чтобы внести данные из него в реестр (точнее, объединить с текущим содержимым), достаточно просто дважды кликнуть по нему (к сожалению, скорее всего, часть данных не смогут быть внесены). Однако, более разумным и эффективным способом, наверное, является включение создания точек восстановления Windows 10, которые будут содержать, в том числе, и работающий вариант реестра.

А вдруг и это будет интересно:

01.10.2016 в 11:17

14.10.2016 в 16:27

Добрый день!
При работающей Windows не получилось вставить резервную копию реестра.

15.10.2016 в 10:37

Здравствуйте. Вообще, это нормальное поведение, т.к. реестр используется. Хотя, конечно, в статье мне нужно было этот момент учесть, когда писал про простое копирование.

16.07.2017 в 15:26

17.07.2017 в 08:40

Загрузиться с диска восстановления или с дистрибутива в режиме восстановления (как описано в статье) или использовать точки восстановления, если они есть.

31.01.2019 в 16:03

Dmitry: Ерунда полнейшая эта среда восстановления Windows 10 убедился для себя в очередной раз инструментов мало и большинство не функциональны не гибки. Вот МRT в Windows 7 был то монстр гуру восстановления.

31.01.2019 в 16:12

18.10.2016 в 13:56

На неработающей Windows XP я после проведения процедуры, описанной Вами, и восстановления работоспособности системы, поверх файлов из резервной копии реестра (DEFAULT, SAM, SOFTWARE, SECURITY, SYSTEM) накатывал те же файлы, но созданные в последней работоспособной точке восстановления системы из папки System Volume Information, чтобы быть поближе к дате краха системы. В Windows 10 я таких файлов в System Volume Information не нашел. Не там искал, или в Windows 10 другой алгоритм создания точек восстановления? Спасибо.

19.10.2016 в 11:38

31.01.2019 в 15:55

Да там они родимые лежат, все правильно System Volume Information только не видно их если у вас не выставлены права безопасности и Вы не владелец директории.

18.10.2016 в 16:55

После ввода команды
Xcopy c:\windows\system32\config\regback c:\windows\system32\config
ноутбук не загружается совсем.
Что делать?

19.10.2016 в 11:28

09.09.2018 в 18:38

26.11.2016 в 00:24

Очень помогла статья, но не полностью пришлось немного самому подумать, а в целом благодаря ей и решил проблему.

15.12.2016 в 00:45

Спасибо, статья помогла на 100%

05.02.2017 в 14:19

Спасибо. Помогла вторая статья.

13.03.2017 в 04:47

Огромное спасибо! Единственный сайт, где нашёл реально полезные рекомендации по восстановлению реестра. Очень благодарен!

16.07.2017 в 21:11

Спасибо, Вы спасли мне жизнь : )

28.07.2017 в 17:49

29.07.2017 в 07:27

Ничего не будет. Копии создадутся заново. Плюс будет лишняя папка configig, которую можно удалить.
Странно только что проблема решилась (возможно, дело вообще не в реестре было).

19.08.2017 в 13:47

Помогло избавиться от экрана смерти

06.09.2017 в 17:48

07.09.2017 в 08:19

07.09.2017 в 11:49

08.09.2017 в 07:33

08.09.2017 в 13:27

Дмитрий, возможно Вы будете смеяться, но возможность открыть список стандартных программ у меня отсутствует напрочь.
Что касается поиска, посмотрю после работы. Очень бы хотелось, чтоб он заработал.

16.09.2017 в 10:29

17.09.2017 в 08:59

А что вас здесь не устроило: HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ FileExts\ .msc\ OpenWithList вообще не ясно, это стандартный раздел, он всегда есть.

18.09.2017 в 13:13

19.09.2017 в 08:20

31.01.2019 в 16:24

Валентин: Revo Uninstaller Pro неплохо всё вычищает ветви реестра связанные с Amigo Xpom Mailru ещё он ищет на HDD файлы и директории связанные с данными приложениями после чего Вы можете их удалить.

12.10.2017 в 13:55

Сперва долго мучился с загрузчиком BCD. Потом вылезла ошибка загрузки реестра и номер ошибки 0хс00000225. С вашей помощью Win10 запустилась!

16.10.2017 в 01:23

Помогите пожалуйста решить проблему, я через безопасный режим добавил пользователя в реестре, в пункт hkey local root и дал ему права полный доступ, после чего не запускается ни в безопасном режиме ни в обычном, загрузочного диска нет, что посоветуете?

16.10.2017 в 08:04

06.01.2018 в 19:39

Просто бог, помогло восстановление реестра с помощью командной строки

06.03.2018 в 15:50

Привет, Dmitry.
Хочу просто скопировать файлы реестра из C:\Windows\System32\config\RegBack\ на жесткий диск D:\SaveRag или на флешку для большей сохранности, чтобы в любой момент я мог полностью восстановить изначальный реестр. Обычными средствами файлы Default, Security, Software, System и Sam не могут быть скопированы. Подскажите как их можно скопировать?

07.03.2018 в 09:23

07.03.2018 в 17:32

07.03.2018 в 18:25

08.03.2018 в 01:36

Я скопировал копию реестра на флешку через загрузочный диск.
Вызвал командную строку Sfift+F10 и ввел эти команды:

Xcopy c:\windows\system32\config\regback d:\regsave\config\regback

Xcopy c:\windows\system32\config d:\regsave\config

Вот только почему-то скопировались файлы пустые из c:\windows\system32\config\regback.
А файлы реестра, которые уже используются в системе скопировать удалось из c:\windows\system32\config .

Не понимаю почему так получилось файлы пустые из папки regback.

08.03.2018 в 07:25

а в исходной папке они не пустые при этом? (плюс как выяснили, что пустые? нулевой размер или что-то еще?)

08.03.2018 в 10:20

Зашел по пути c:\windows\system32\config\regback , там у всех файлов нулевой размер.

31.01.2019 в 16:49

30.03.2018 в 14:50

Здравствуйте Дмитрий
Я случайно удалил в командной строке через команду (какая то команда которая удаляет что то из реестра) удалил возможность открывать поиск wi-fi и вообще интернет соединения (Windows 10, справа внизу там где часы звук батарея, то когда там нажимаю на иконку интернета и она не выскакивает)
С настроек когда нажимаю показать доступные сети или что то связанное с тем под меню тоже ничего не происходит
Удалил я случайно потому что искал решение проблемы с слетевшими драйверами wi-fi
Я теперь боюсь если честно перетаскивать базовые файлы реестра так как вы описали, потому что не знаю что после этого поменяется
Мой вопрос если вкратце, что поменяется в системе (в плане данные настройки и тд) они все останутся, или это как возвращение к базовым параметрам и у меня вся информация слетит? Ну и поможет ли мне это действие вернуть панель настройки интернета?
Заранее спасибо

31.03.2018 в 08:50

Нет, это не базовые параметры, а одни из сохраненных ранее присутствовавших на этом же компьютере.
Но вообще, если у вас есть точки восстановления, лучше использовать их (там и реестр восстанавливается).

31.03.2018 в 11:52

Может посоветуете какой из файлов реестра отвечает конкретно за вот эту функцию настройки поиска интернета что бы я не восстанавливал всю систему?

01.04.2018 в 09:19

31.03.2018 в 15:06

Точки восстановления к сожалению нету(
я так и не могу понять когда перетяну старые файлы реестра я много данных потеряю?

01.04.2018 в 09:11

20.04.2018 в 15:24

20.05.2018 в 16:04

Здравствуйте. Я открыл папку C: \ Windows \System32\config\ RegBack\, все 5 файлов там есть, но каждый объемом 0кб (все файлы от 02.05.2018, когда система обновилась до 1803). Через свойства размер папки 0 байт. Значит получается, что восстановить реестр из резервной копии не получится, т. к. нет самой копии?

20.05.2018 в 17:16

09.09.2018 в 18:52

Именно, файлы из регбэка весил по всем 0кб и при замене их в конфиге, винда больше не грузиться! И никак не восстановить, просто пишет что этого сделать невозможно! Какие есть варианты?

09.06.2018 в 09:18

09.06.2018 в 13:50

10.06.2018 в 18:05

11.06.2018 в 08:33

24.06.2018 в 19:14

Ввел в командную строку всё это и мне написали недопустимый путь, скопировано файлов 0
Что делать?

25.06.2018 в 10:59

Возможно, где-то ошибку совершили? Ну или по какой-то причине у вас не сохраняется резервная копия реестра.

17.08.2018 в 10:43

Системе не удаётся найти указанный путь что делать при вводе вот этих двух команд.

17.08.2018 в 13:57

Возможно, нет резервной копии в указанном расположении (при условии, что команды верно введены), по какой-то причине не была создана. Значит способ не подойдет.

25.08.2018 в 22:58

Здравствуйте, тоже такая проблема, подскажите как правильно вести в командную строку, я вожу у меня пишет что не удается найти указанный путь

26.08.2018 в 09:33

Возможно, вы все правильно вводите, но по какой-то причине резервной копии реестра нет, т.е. способ не подойдет. можно попробовать использовать точки восстановления.

09.09.2018 в 18:57

Дмитрий, помогите пожалуйста, делал через командную строку. Диск С был по Е. Все успешно скопировал с заменой, файлы весили по 0кб. Теперь при загрузке видны он пытается запустить автоматическое восстановление, но не может! Вернуть в исходное состояние тоже не даёт! Невозможно. Как мне быть? Может удалить как это файлы теперь или что?

10.09.2018 в 11:43

Здравствуйте.
Видать, пустые файлы почему-то были, что странно. Точки восстановления не сохранились? (в дополнительных параметрах восстановление системы)

12.09.2018 в 12:43

Нет точки не сохраняю. Пришлось ставить образ на флешку и заново ставить винду. Все файлы с диска C потеряны. Статья очень опасная.

13.09.2018 в 11:58

08.10.2018 в 10:45

Огромное спасибо за статью! Помогла восстановить критичный сервер Win 2016 после сбоя.

16.11.2018 в 11:53

31.01.2019 в 17:09

Читайте также: