Extrair chave de registro do backup do estado do sistema NTBackup

6

Uma máquina Windows Server 2003 morreu recentemente, mas eu preciso de algumas informações contidas no registro do servidor agora extinto. Eu tenho um arquivo de backup do "estado do sistema" criado pelo programa de backup interno do Windows Server 2003 (NTBackup.exe). Existe alguma maneira de extrair uma chave / valor fora do arquivo de backup?

Eu posso fazer uma instalação do Win2003 em uma máquina semelhante e fazer uma restauração do estado do sistema, mas isso é um grande esforço e não sei ao certo se a restauração do estado do sistema funcionará em uma máquina de especificação diferente. (Funcionaria se eu inicializasse em 'modo de segurança'?) Mas eu realmente preferiria apenas obter os dados diretamente dos estilos de arquivos zip-arquivo do NTBackup, se isso for possível.

    
por phoenix8 23.10.2009 / 07:39

2 respostas

8

Restaure a parte Estado do sistema do backup em outra máquina executando o W2K3 ou Windows XP, escolhendo a opção "Pasta única" para "Restaurar arquivos para" e escolhendo algum "local alternativo" (como um diretório criado para esse finalidade). Você será avisado sobre como este é um recurso "avançado" e que nem todos os arquivos serão restaurados. Para seus propósitos, tudo bem.

Você receberá de volta muito do diretório "% SystemRoot% \ System32" (muitos arquivos DLL, etc.) e o registro também.

De lá, as instruções que Shial (que parece ser um pouco parecido com SHODAN) postadas estão no caminho certo. Acione "REGEDIT", realce "HKEY_LOCAL_MACHINE" em seu registro local e use a opção "Arquivo / Carregar ramificação ...". Escolha o arquivo no "Local alternativo" correspondente à parte do registro do qual você deseja extrair dados (esses arquivos não têm extensão):

  • SYSTEM - HKEY_LOCAL_MACHINE \ System
  • SOFTWARE - HKEY_LOCAL_MACHINE \ Software
  • SEGURANÇA - HKEY_LOCAL_MACHINE \ Segurança
  • SAM - HKEY_LOCAL_MACHINE \ SAM
  • PADRÃO - HKEY_USERS.Default

Escolha o nome que você deseja ao carregar a seção, desde que não seja um nome que já seja usado em HKEY_LOCAL_MACHINE. Você está "montando" essa seção no seu registro ao vivo, não muito diferente de montar um volume NTFS em um diretório (exceto que você não precisa fazer a chave de registro para montar a seção como se fosse um ponto de montagem NTFS). / p>

Quando terminar, descarregue a seção destacando a chave em que ela está montada (HKEY_LOCAL_MACHINE \ whatever_name_you_chose) e fazendo uma "seção Arquivo / Descarregar" ...

    
por 23.10.2009 / 08:25
5

Eu não fiz muito com isso no servidor 2003, mas deve ser o mesmo que no xp. O registro é o conjunto de arquivos armazenados em c: \ windows \ system32 \ config, os vários arquivos sem qualquer extensão (PADRÃO, SAM, SEGURANÇA, SOFTWARE, SISTEMA) são as seções reais do Registro e você pode montá-los manualmente no regedit selecionando algo como HKEY LOCAL MACHINE, em seguida, indo para Arquivo ee selecionando a opção para carregar a seção, em seguida, selecione o arquivo que você extraiu, ele deve pedir-lhe um nome para importá-lo, em seguida, você pode acessá-lo de lá. É sob um subhive por isso não afetará seu registro normal. Tem que ser carregado dentro de uma das colmeias principais, a opção será acinzentada de outra forma.

    
por 23.10.2009 / 07:58