Відновлення видалених записів в реєстрі windows (registry undelete)

Відновлення видалених записів в реєстрі Windows

Отже, що ж робить ця програма? Вона дозволяє відновити вилучені записи з реєстру. Правда є невеликі обмеження:

- неможливо відновити видалене значення запису. Відновлюється тільки запис цілком;

- записи можна відновити тільки до першого перезавантаження. Якщо комп'ютер перезапустити, то вся віддалена інформація буде упакована і відновленню не підлягає;

- програма не працює з файлами реєстру Windows95, тому що там застосовується інший спосіб видалення даних.

Перш, ніж братися за саму програму, непогано б трохи ознайомитися з теорією, тоді буде набагато зрозуміліше і як працювати з утилітою, що від неї можна вимагати, і взагалі стануть більш зрозумілі процеси, що відбуваються в реєстрі.

Ось кілька моментів, що пояснюють, як відбувається видалення записів з файлу реєстру:

1. У таблиці RGKN запис позначається, як віддалена і не упакованих.

3. Наступною вільної записом стає попередня перша вільна.

Таким чином створюється ланцюжок з віддалених записів на чолі з останньої віддаленої. Це триває до упаковки, коли весь вільний простір в таблиці зсувається в єдиний блок в кінці.

4. Починаючи з Win98 (можливо раніше?), Номер запису (номер RGDB і номер в RGDB) не затертого, що дає можливість пошуку віддаленої записи в реєстрі.

5. При видаленні запису в блоці RGDB, так само як і в RGKN, створюється ланцюжок віддалених записів, де першою є остання видалений запис.

6. Повної однозначності при пошуку віддаленої записи домогтися не вдається, оскільки номер віддаленої записи в блоці RGDB все-таки затирається, і для віддаленої записи єдиною корисною інформацією про розташування є номер RGDB, в якому вона знаходиться.

Виходячи з перерахованого вище, можна запропонувати два варіанти відновлення:

1. Відновлення записів виробляти строго в порядку зворотному порядку їх видалення. Тобто інформації про останню віддаленої записи в RGKN ставиться у відповідність інформація про останню віддаленої записи в зазначеному блоці RGDB.

2. При відновленні записи в N-ном блоці RGDB, підраховувати кількість попередніх віддалених записів в RGKN, розташованих в цьому ж блоці RGDB, і відновлювати запис відповідно до черговості.

Ситуацію погіршує той факт, що при створенні нового запису в блоці RGKN береться перша вільна запис, тобто остання віддалена. Таким чином, втрачається реальна картина про розташування віддалених записів, і записи можуть бути відновлені з невірним шляхом. Однак самі дані, що містилися в запису, що не видаляються і стають так званими "втраченими" (блок вільний, але на нього немає посилання з таблиці RGKN). Цей факт не порушує цілісність файлу реєстру, але сильно ускладнює роботу з віддаленими записами. Після упаковки, як і в RGKN, в RGDB все вільні записи зміщуються в єдиний блок в кінці блоку.

Після такої серйозної теоретичної підготовки можна поговорити і про саму програму. Інтерфейс її повністю ідентичний Registry Viewer'у, як і методи роботи. Щоб відновити втрачені записи треба завантажитися в режим MS DOS (сама програму зручно працювати і в Windows, ось тільки відновлювати реєстр в ньому дуже не рекомендую :)). При запуску програми треба вказати як параметр файл system.dat або user.dat, тобто regundel system.dat (попередньо краще їх скопіювати в окрему директорію, щоб уникнути різних непорозумінь).

У лівій верхній панелі відображається список всіх віддалених (не упакованих) записів. Як ім'я використовується номер запису

Червоним кольором позначені записи з віддаленими предками. Їх відновлення неможливе до відновлення предків.

У сусідній панелі (праворуч) відображається список всіх віддалених записів у відповідному блоці RGDB.

В обох панелях записи впорядковані в порядку зворотному видалення.

У лівій нижній панелі відображається ймовірний шлях до запису.

У двох правих панелях відображаються параметри зі значеннями (робота з ними не передбачена).

Вибравши на лівій панелі цікаву для вас запис, можна відновити її в автоматичному режимі. При цьому використовується другий варіант відновлення (див. Вище).

Якщо вас не влаштовує режим автоматичного відновлення, то можна скористатися режимом ручного вибору відповідності між записами. Для цього, вибравши на лівій панелі цікаву для вас запис, необхідно переключитися в сусідню панель можливих значень і, вибравши потрібний, відновити.

Для швидшої роботи програми введено обмеження по кількості оброблюваних віддалених записів (перший кілограм записів :).

Програма не вимагає інсталяції, а її архів має розмір всього 19Кб. Не можу не відзначити, що на softlist'e вона отримала нагороду 4,5 зірки.

читати ще по темі