從 NTBackup 系統狀態備份中提取系統資料庫項
一台 Windows Server 2003 機器最近死了,但我需要一些包含在現已失效的伺服器系統資料庫中的資訊。我有一個由 Windows Server 2003 內置備份程序 (NTBackup.exe) 創建的“系統狀態”備份文件。有沒有辦法從備份文件中提取鍵/值?
我也許可以在類似的機器上安裝 Win2003,然後進行系統狀態恢復,但這需要付出很多努力,而且我不確定係統狀態恢復是否可以在不同規格的機器上工作。(如果我以“安全模式”啟動,它會起作用嗎?)但如果可能的話,我真的寧願直接從 NTBackup 文件 zip-file-esque 樣式中獲取數據。
在另一台執行 W2K3 或 Windows XP 的機器上恢復備份的系統狀態部分,選擇“將文件恢復到”的“單個文件夾”選項並選擇一些合理的“備用位置”(如您為此目的創建的目錄)。您將被警告這是一項“高級”功能,並且並非所有文件都會被恢復。出於您的目的,這很好。
您將獲得很多“%SystemRoot%\System32”目錄(很多 DLL 文件等)以及系統資料庫。
從那裡,Shial(看起來很像SHODAN)發布的指示是正確的。啟動“REGEDIT”,在本地系統資料庫中突出顯示“HKEY_LOCAL_MACHINE”,然後使用“File / Load hive…”選項。從與要從中提取數據的系統資料庫部分對應的“備用位置”中選擇文件(這些文件沒有副檔名):
- 系統 - HKEY_LOCAL_MACHINE\系統
- 軟體 - HKEY_LOCAL_MACHINE\軟體
- 安全 - HKEY_LOCAL_MACHINE\Security
- SAM - HKEY_LOCAL_MACHINE\SAM
- DEFAULT - HKEY_USERS.Default
在載入配置單元時選擇您想要的任何名稱,只要它不是在 HKEY_LOCAL_MACHINE 下已使用的名稱。您正在將配置單元“安裝”到您的實時系統資料庫中,這與在目錄下安裝 NTFS 卷不同(除了您不必像 NTFS 安裝點那樣創建系統資料庫項來安裝配置單元)。
完成後,通過突出顯示它的安裝位置 (HKEY_LOCAL_MACHINE\whatever_name_you_chose) 並執行“文件/解除安裝 hive…”來解除安裝 hive。