Recovery file di registro – l’ultima spiaggia !!! (OFFLINE REGISTRY FILE RECOVER con regedit.exe)

Written by jef

Topics: Varie, Workarounds

Dite la verità, quante volte vi è capitato di non riuscire ad avviare il vostro SO Microsoft e di ritrovarvi con una schermata come questa ?

Questo simpaticissimo messaggio ci indica che il file che contiene l’hive di registro SYSTEM è corrotto o mancante pertanto il SO non può effettuare il boot; stesso messaggio se proviamo con la modalità provvisoria.

Ci sono svariate tecniche da utilizzare per provare a risistemare il tutto:

  • Boot con CD di Windows e poi chkdsk /p da console per sistemare eventuali errori logici sul disco
  • Utilizzare una copia dei file di registro danneggiati che si trovano in C:\Windows\Repair, tentare il boot e poi magari cercare un punto di ripristino recente (solo su XP,Vista e 7)
  • Utilizzare utility di recupero file danneggiati di terze parti
  • Sperare in un miracolo (personalmente non ho avuto mai grossi risultati…)

Se nessuna delle precedenti tecniche dà i suoi frutti si può tentare un recovery dei file di registro in questione utilizzano semplicemente regedit (su un pc che funziona ovviamente…); vediamo come:

OFFLINE REGISTRY FILE RECOVER con regedit.exe

 

  1. Recuperare il file dell’hive danneggiato (in questo caso C:\Windows\System32\Config\SISTEM) e copiarlo su un altro PC (con quale sistema decidete voi…).
  2. Aprire regedit.exe e selezionare HKEY_USERS o HKEY_LOCAL_MACHINE, poi dal menu file selezionare Carica hive (vedi figura 1).

    Figura 1

  3. Selezionare il file SYSTEM in questione, a questo punto regedit vi chiederà il nome della chiave sotto la quale caricare l’hive, io ho usato temp (vedi figura 2).
  4. Tasto DX sulla sottochiave temp e poi Esporta (vedi figura 2).

    5. Figura 2

     

  5. Selezionare il formato File hive del registro di sistema *.* (vedi figura 3).

Figura 3

Se l’esportazione va a buon fine, il risultato sarà una copia del suddetto file ripulita da eventuali informazioni corrotte o illeggibili (in teoria). Facendo il raffronto con le dimensioni ci accorgiamo che effettivamente il processo ha eliminato una parte di informazioni:

Prima

Dopo

A questo punto non ci resta che sostituirlo al file originale e tentare il boot del SO.

La tecnica è stata testata con successo su un Windows Server 2003 di cui purtroppo non era disponibile alcun System State e nessuna copia di sicurezza, dopo aver invano provato con chkdsk e compagnia.

Alla prossima !

 

 

    Bookmark and Share

    Facebook Twitter StumbleUpon del.icio.us Digg Reddit Technorati RSS

    Posted on 5 aprile 2011

    Tags: , , , , , , ,

    About the Author

    Giuseppe Culotta attualmente lavora presso la Fondazione Istituto San Raffaele G.Giglio di Cefalù (PA) come sistemista di rete e programmatore. Per contatti: giuseppe.culotta@gmail.com

    Leave a Comment Here's Your Chance to Be Heard!