Редагування реєстру Windows офлайн

Уявіть ситуацію, коли виникли проблеми із завантаженням Windows (наприклад, вірусна або троянська атака, помилка в можливістю автоматичного запуску службах або програмах) і для нормального завантаження системи необхідно здійснити редагування нікого параметра реєстру Windows. Положення може погіршити той факт, що в безпечному режимі виправити проблему також не вдається. У такій ситуації нам можуть допомогти спеціальні засоби завантаження і редагування параметрів Windows, такі як завантажувальні диски BartPE, ERD Commander і т.д. А що ж робити, якщо під рукою немає такого універсального завантажувача, а є лише інсталяційний диск з Windows або диск для відновлення пароля з середовищем WinPE? На щастя, навіть ці кошти при правильному використанні дозволяють відредагувати реєстр системи, що знаходиться в оффлайн стані.

Пояснимо, яким чином можна змінити якийсь параметр в тій чи іншій гілці реєстру. Всі кущі реєстру в Windows існують у вигляді окремих файлів і їх можна відкрити і правити звичайним редактором реєстру regedit, запущеним з працюючої машини. Для цього потрібно розуміти в якому файлі зберігатися та чи інша гілка реєстру:

гілка реєструФайл, в якому зберігатися параметри даної гілки реєстру
HKEY_LOCAL_MACHINE \ SAMwindows \ system32 \ config \ sam
HKEY_LOCAL_MACHINE \ Securitywindows \ system32 \ config \ security
HKEY_LOCAL_MACHINE \ Softwarewindows \ system32 \ config \ software
HKEY_LOCAL_MACHINE \ Systemwindows \ system32 \ config \ system
HKEY_CURRENT_CONFIGwindows \ system32 \ config \ system
HKEY_CURRENT_USER\ ntuser.dat
HKEY_USERS \ .DEFAULTwindows \ system32 \ config \ default

Далі розглянемо offline редагування реєстру на прикладі Windows 7. Отже, нам потрібен інсталяційний диск з Windows 7 або завантажувальний диск Windows PE (Windows Preinstallation Environment) / Windows RE (Windows Recovery Environment).

  1. Завантажуємося з цього диска і у вікні вибираємо "Repair your computer"(Відновити комп'ютер).
  2. У наступному вікні натискаємо Next
  3. І потім запускаємо командний рядок: "Command Prompt "
  4. У командному рядку набираємо regedit, в результаті чого відкриється редактор реєстру. На даний момент він відображає стан реєстру завантажувального середовища (тієї самої урізаною версією Windows під назвою WinPE)!!!
  5. Встаємо на гілку реєстру HKEY_LOCAL_MACHINE і вибираємо "Load Hive"(Завантажити кущ).
  6. Знаходимо диск на якому розташовується система (в моєму випадку це виявився диск D: \) і по наведеній вище таблиці вибираємо гілку реєстру, яку ми хочемо довантажити.
  7. Вказуємо ім'я, під яким завантажується гілка реєстру буде змонтована в розділі HKEY_LOCAL_MACHINE, наприклад test
  8. Потім потрібно знайти і відредагувати параметр, який не дає Windows завантажитися або виправити іншу проблему
  9. Після закінчення офлайн роботи з гілкою реєстру, необхідно в меню вибрати File->Unload hive, і результати редагування збережуться в реєстрі вимкненого ПК.