Представьте ситуацию, когда возникли проблемы с загрузкой Windows
(например, вирусная или троянская атака, ошибка в автоматически
запускающийся службах или программах) и для нормальной загрузки системы
необходимо осуществить редактирование некого параметра реестра Windows.
Положение может усугубить тот факт, что в безопасном режиме исправить
проблему также не удается. В такой ситуации нам могут помочь
специальные средства загрузки и редактирование параметров Windows, такие
как загрузочные диски BartPE, ERD Commander и т.д. А что же делать,
если под рукой нет такого универсального загрузчика, а имеется лишь
установочный диск с Windows или диск для восстановления пароля со средой
WinPE? К счастью, даже эти средства при правильном использовании
позволяют отредактировать реестр системы, находящейся в оффлайн
состоянии.
Поясним, каким образом можно изменить некий параметр в той или иной
ветке реестра. Все кусты реестра в Windows существуют в виде отдельных
файлов и их можно открыть и править обычным редактором реестра regedit,
запущенным с работающей машины. Для этого нужно понимать в каком файле
храниться та или иная ветка реестра:
| Ветка реестра |
Файл, в котором храниться параметры данной ветки реестра |
| HKEY_LOCAL_MACHINE\SAM |
windows\system32\config\sam |
| HKEY_LOCAL_MACHINE\Security |
windows\system32\config\security |
| HKEY_LOCAL_MACHINE\Software |
windows\system32\config\software |
| HKEY_LOCAL_MACHINE\System |
windows\system32\config\system |
| HKEY_CURRENT_CONFIG |
windows\system32\config\system |
| HKEY_CURRENT_USER |
<username>\ntuser.dat |
| HKEY_USERS\.DEFAULT |
windows\system32\config\default |
Далее рассмотрим offline редактирование реестра на примере Windows 7.
Итак, нам нужен установочный диск с Windows 7 или загрузочный диск
Windows PE (Windows Preinstallation Environment) / Windows RE (Windows
Recovery Environment).
Загружаемся с этого диска и в окне выбираем "Repair your computer” (Восстановить компьютер). - В следующем окне нажимаем Next
- И затем запускаем командную строку: "Command Prompt ”
- В командной строке набираем regedit, в результате
чего откроется редактор реестра. На данный момент он отображает
состояние реестра загрузочной среды (той самой урезанной версии Windows
под названием WinPE)!!!
- Встаем на ветку реестра HKEY_LOCAL_MACHINE и выбираем "Load Hive” (загрузить куст).
- Находим диск на котором располагается система (в моем случае это
оказался диск D:\) и по приведенной выше таблице выбираем ветку реестра,
которую мы хотим подгрузить.
- Указываем имя, под которым загружаемая ветка реестра будет смонтирована в разделе HKEY_LOCAL_MACHINE, например test
 - Затем нужно найти и отредактировать параметр, который не дает Windows загрузиться или исправить другую проблему
 - По окончании офлайн работы с веткой реестра, необходимо в меню выбрать File->Unload hive, и результаты редактирования сохранятся в реестре выключенного ПК.
| 