Beschädigte RegBack-Datei unter Windows 7

Question 1

Analyse

DemzufolgeForensischer Artikel, der Dateityp von SYSTEM sollte auch „MS Windows-Registrierungsdatei“ sein.

Fazit: Ihr SYSTEM-Hive ist tatsächlich beschädigt. Sie können auch selbst seine Signatur überprüfen, die sich in den ersten 4 Bytes befindet und die ASCII-Zeichenfolge „regf“ enthalten sollte.

Der obige Artikel verwendet die Metasploit-Testframework, das Sie bei großer Neugier auch zum Testen des Inhalts Ihres SYSTEM-Hives verwenden können.

Wiederherstellungsmethode 1: Systemabbild wiederherstellen

Wenn Sie über eine Imagesicherung der Systemfestplatte verfügen, sollten Sie diese wiederherstellen. Wenn nicht, lesen Sie weiter.

Wiederherstellungsmethode 2: Wiederherstellen eines Systemwiederherstellungspunkts mithilfe der Systemreparatur-CD

Wenn die Systemwiederherstellung aktiviert war, finden Sie möglicherweise einen funktionierenden Satz Ihrer Registrierungsstrukturen in einem früheren Systemwiederherstellungspunkt. Wenn sie deaktiviert war, fahren Sie mit Methode 4 fort.

Wenn du. .. getan hast Erstellen Sie eine Systemreparatur-CD, dann kann es von einem Wiederherstellungspunkt (Verknüpfung):

Booten mit der Systemreparatur-CD
Wählen Sie Ihre bevorzugte Tastatursprache aus und klicken Sie auf Weiter
Klicken Sie auf „Computer reparieren“
Wählen Sie das Betriebssystem aus, das Sie wiederherstellen möchten, und klicken Sie auf Weiter
WählenSystemwiederherstellung

Dies hat keine Auswirkungen auf Ihre persönlichen Dateien, entfernt jedoch kürzlich installierte Apps, Treiber und Updates, die möglicherweise Probleme mit Ihrem PC verursachen.

Wiederherstellungsmethode 3: Wiederherstellung vom Systemwiederherstellungspunkt mithilfe eines Windows-Startmediums

Wenn Sie noch nie ein Wiederherstellungslaufwerk erstellt haben, ist nicht alles verloren:

Gehen Sie auf einem funktionierenden PC zu Microsoft-Website zum Herunterladen von Software und laden Sie eine passende ISO-Datei herunter. Dazu ist ein gültiger Produktaktivierungsschlüssel erforderlich.
Verwenden Sie die Windows USB/DVD-Downloadtool um das Bootmedium zu erstellen.
Schließen Sie das von Ihnen erstellte Installationsmedium an Ihren nicht funktionsfähigen PC an und schalten Sie ihn ein. (Stellen Sie sicher, dass der Computer von diesem Medium bootet. Möglicherweise müssen Sie die Bootreihenfolge Ihres PCs ändern.)
Wählen Sie Systemwiederherstellungsoptionen
Wählen Sie „Systemwiederherstellung“ und fahren Sie wie oben beschrieben fort.

Der folgende Artikel enthält weitere Informationen und Screenshots:
So führen Sie eine Systemwiederherstellung in Windows 7 durch.

Methode 4: Speichern Sie Ihre Daten und führen Sie eine Neuinstallation durch

Wenn Sie die Systemwiederherstellung nicht aktiviert haben, müssen Sie Windows meiner Ansicht nach neu installieren.

Sie können Ihre Dateien dennoch folgendermaßen speichern:

Windows 7: Eingabeaufforderung beim Start,
Booten Sie mit einem Linux-Live-Boot-Medium.

Wenn es an der Zeit ist, Windows wiederherzustellen, führen Sie die Neuinstallation vom Windows 7-Startmedium durch.

Answer

Analyse

DemzufolgeForensischer Artikel, der Dateityp von SYSTEM sollte auch „MS Windows-Registrierungsdatei“ sein.

Fazit: Ihr SYSTEM-Hive ist tatsächlich beschädigt. Sie können auch selbst seine Signatur überprüfen, die sich in den ersten 4 Bytes befindet und die ASCII-Zeichenfolge „regf“ enthalten sollte.

Der obige Artikel verwendet die Metasploit-Testframework, das Sie bei großer Neugier auch zum Testen des Inhalts Ihres SYSTEM-Hives verwenden können.

Wiederherstellungsmethode 1: Systemabbild wiederherstellen

Wenn Sie über eine Imagesicherung der Systemfestplatte verfügen, sollten Sie diese wiederherstellen. Wenn nicht, lesen Sie weiter.

Wiederherstellungsmethode 2: Wiederherstellen eines Systemwiederherstellungspunkts mithilfe der Systemreparatur-CD

Wenn die Systemwiederherstellung aktiviert war, finden Sie möglicherweise einen funktionierenden Satz Ihrer Registrierungsstrukturen in einem früheren Systemwiederherstellungspunkt. Wenn sie deaktiviert war, fahren Sie mit Methode 4 fort.

Wenn du. .. getan hast Erstellen Sie eine Systemreparatur-CD, dann kann es von einem Wiederherstellungspunkt (Verknüpfung):

Booten mit der Systemreparatur-CD
Wählen Sie Ihre bevorzugte Tastatursprache aus und klicken Sie auf Weiter
Klicken Sie auf „Computer reparieren“
Wählen Sie das Betriebssystem aus, das Sie wiederherstellen möchten, und klicken Sie auf Weiter
WählenSystemwiederherstellung

Dies hat keine Auswirkungen auf Ihre persönlichen Dateien, entfernt jedoch kürzlich installierte Apps, Treiber und Updates, die möglicherweise Probleme mit Ihrem PC verursachen.

Wiederherstellungsmethode 3: Wiederherstellung vom Systemwiederherstellungspunkt mithilfe eines Windows-Startmediums

Wenn Sie noch nie ein Wiederherstellungslaufwerk erstellt haben, ist nicht alles verloren:

Gehen Sie auf einem funktionierenden PC zu Microsoft-Website zum Herunterladen von Software und laden Sie eine passende ISO-Datei herunter. Dazu ist ein gültiger Produktaktivierungsschlüssel erforderlich.
Verwenden Sie die Windows USB/DVD-Downloadtool um das Bootmedium zu erstellen.
Schließen Sie das von Ihnen erstellte Installationsmedium an Ihren nicht funktionsfähigen PC an und schalten Sie ihn ein. (Stellen Sie sicher, dass der Computer von diesem Medium bootet. Möglicherweise müssen Sie die Bootreihenfolge Ihres PCs ändern.)
Wählen Sie Systemwiederherstellungsoptionen
Wählen Sie „Systemwiederherstellung“ und fahren Sie wie oben beschrieben fort.

Der folgende Artikel enthält weitere Informationen und Screenshots:
So führen Sie eine Systemwiederherstellung in Windows 7 durch.

Methode 4: Speichern Sie Ihre Daten und führen Sie eine Neuinstallation durch

Wenn Sie die Systemwiederherstellung nicht aktiviert haben, müssen Sie Windows meiner Ansicht nach neu installieren.

Sie können Ihre Dateien dennoch folgendermaßen speichern:

Windows 7: Eingabeaufforderung beim Start,
Booten Sie mit einem Linux-Live-Boot-Medium.

Wenn es an der Zeit ist, Windows wiederherzustellen, führen Sie die Neuinstallation vom Windows 7-Startmedium durch.

Question 2

Ich würde vorschlagen, eine Datei C:\Windows\System32\config\SYSTEM von einem ähnlichen Computer zu ersetzen (Betriebssystemversion, Betriebssystemkonfiguration, UI-Sprachen und Layouts sollten identisch sein).

Diese Datei verweist auf die Struktur HKEY_LOCAL_MACHINE\SYSTEM, die hauptsächlich globale Systemeinstellungen enthält, die nicht mit den installierten Anwendungen in Zusammenhang stehen. Daher können die installierten Apps auf zwei Computern unterschiedlich sein.

Auch wenn einige Einstellungen auf dem Quell- und dem Zielcomputer unterschiedlich sind, sollte dies Ihnen einen Hinweis darauf geben, ob Ihre SYSTEM-Dateien beschädigt sind oder nicht.

Answer

Ich würde vorschlagen, eine Datei C:\Windows\System32\config\SYSTEM von einem ähnlichen Computer zu ersetzen (Betriebssystemversion, Betriebssystemkonfiguration, UI-Sprachen und Layouts sollten identisch sein).

Diese Datei verweist auf die Struktur HKEY_LOCAL_MACHINE\SYSTEM, die hauptsächlich globale Systemeinstellungen enthält, die nicht mit den installierten Anwendungen in Zusammenhang stehen. Daher können die installierten Apps auf zwei Computern unterschiedlich sein.

Auch wenn einige Einstellungen auf dem Quell- und dem Zielcomputer unterschiedlich sind, sollte dies Ihnen einen Hinweis darauf geben, ob Ihre SYSTEM-Dateien beschädigt sind oder nicht.

Beschädigte RegBack-Datei unter Windows 7

Antwort1

Antwort2

verwandte Informationen