从NTBackup系统状态备份中提取注册表项

Question

最近，一台Windows 2003机器失效了，但我需要一些信息，这些信息包含在现已失效的服务器注册表中。我有一个由Windows 2003内置备份程序(NTBackup.exe)创建的“系统状态”备份文件。有任何方法从备份文件中提取密钥/值吗？

我可能能够在类似的机器上安装Win2003，然后进行系统状态恢复，但这是很大的努力，而且我不确定系统状态恢复是否会在另一台特定的机器上工作。(如果我以“安全模式”启动，它会起作用吗？)但如果可能的话，我更愿意直接从NTBackup文件压缩文件样式中获取数据。

Answer 1

在运行W2K3或Windows的另一台计算机上还原备份的系统状态部分，选择“还原文件到”的“单一文件夹”选项，并选择一些合理的“备用位置”(比如为此目的创建的目录)。您将被警告，这是一个“高级”的功能，并不是所有的文件将被恢复。为了你的目的，没问题。

您将得到许多“%SystemRoot%\System32 32”目录(许多DLL文件，等等)以及注册表。

从这里开始，Shial (看起来很像SHODAN)发布的指令是正确的。启动"REGEDIT"，在本地注册表中高亮显示"HKEY_LOCAL_MACHINE“，然后使用”文件/加载单元.“选项。从要从中提取数据的注册表的“备用位置”中选择文件(这些文件没有扩展名)：

• 系统- HKEY_LOCAL_MACHINE\System
• 软件- HKEY_LOCAL_MACHINE\Software
• 安全性- HKEY_LOCAL_MACHINE\Security
• 萨姆- HKEY_LOCAL_MACHINE\SAM
• 默认- HKEY_USERS.Default

在加载单元时选择您想要的任何名称，只要它不是已经在HKEY_LOCAL_MACHINE下使用的名称。您正在“挂载”该单元到您的实时注册表，这与在目录下挂载NTFS卷没有什么不同(只不过您不必像安装NTFS挂载点一样，让注册表键将蜂箱挂载到其中)。

完成后，通过高亮显示安装它的键(HKEY_LOCAL_MACHINE\whatever_name_you_chose)并执行“文件/卸载蜂箱.”来卸载蜂箱。

Answer 2

我在服务器2003上没有做太多这件事，但是它应该和xp一样。注册表是存储在c：\windows\SYSTEM 32\config中的一组文件，没有任何扩展名的各种文件(默认、SAM、安全性、软件、系统)是实际的注册表单元，您可以在regedit中手动挂载它们，方法是选择类似HKEY的本地机器，然后转到File并选择加载Hive的选项，然后选择您提取的文件，它应该要求您输入一个名称，然后您可以在其中访问它。它在子蜂窝下面，所以它实际上不会影响您的正常注册表。它必须加载在一个主要蜂箱内，该选项将灰色，否则。