Назад | Перейти на главную страницу

Есть ли способ прочитать системные файлы кустов в загруженной системе?

Есть ли способ получить копию %systemroot%\system32\config\system, когда система запущена и работает? Я знаю, что ОС блокирует этот файл, чтобы он не попал в корзину, но все, что мне нужно, - это иметь возможность читать его достаточно долго, чтобы получить копию. Может быть, что-то в «родном API» подойдет?

Причина, по которой вы не можете скопировать этот файл, не связана с разрешением или «защитой» Windows от файла; проблема в том, что этот файл всегда используется (и, следовательно, заблокирован) в работающей системе.

При загрузке файл сопоставляется с HKLM\System; ты можешь использовать reg.exe для экспорта его содержимого как в текстовом, так и в двоичном формате:

reg export HKLM\System system.reg
reg save HKML\System system.hiv

Первый можно открыть с помощью любого текстового редактора; последний представляет собой полный двоичный дамп, и его можно открыть, загрузив его в REGEDIT.

Также имейте в виду, что некоторые подразделы HKLM \ System не хранятся на диске, но скорее заполняются ОС во время выполнения (самый известный из них - CurrentControlSet); так что сбрасывать / сохранять их может вообще не иметь смысла.

Я думаю ты хочешь Службы теневого копирования томов.

На серверной платформе Diskshadow доступен интерфейс командной строки.

Если вам не нужна актуальная копия, иногда может быть проще просто восстановить файл из резервной копии в другое место.