Extrahieren Sie den Registrierungsschlüssel aus der Sicherung des NTBackup-Systemstatus

7

Ein Windows Server 2003-Computer ist kürzlich gestorben, aber ich benötige einige Informationen, die in der Registrierung des jetzt nicht mehr existierenden Servers enthalten waren. Ich habe eine Sicherungssystemdatei "Systemstatus", die vom integrierten Sicherungsprogramm von Windows Server 2003 (NTBackup.exe) erstellt wurde. Gibt es eine Möglichkeit, einen Schlüssel / Wert aus der Sicherungsdatei zu extrahieren?

Ich kann möglicherweise eine Win2003-Installation auf einem ähnlichen Computer durchführen und dann eine Wiederherstellung des Systemstatus durchführen, aber das ist ein großer Aufwand, und ich weiß nicht sicher, ob die Wiederherstellung des Systemstatus auf einem anderen Computer funktioniert. (Würde es funktionieren, wenn ich im "abgesicherten Modus" booten würde?) Aber ich würde wirklich lieber einfach die Daten direkt aus den zip-file-ähnlichen Stilen der NTBackup-Datei abrufen, wenn dies möglich ist.

phoenix8
quelle

Antworten:

9

Stellen Sie den Systemstatus der Sicherung auf einem anderen Computer wieder her, auf dem W2K3 oder Windows XP ausgeführt wird, wählen Sie die Option "Einzelordner" für "Dateien wiederherstellen in" und wählen Sie einen sinnvollen "alternativen Speicherort" aus (z. B. ein Verzeichnis, das Sie zu diesem Zweck erstellen). Sie werden gewarnt, dass dies eine "erweiterte" Funktion ist und dass nicht alle Dateien wiederhergestellt werden. Für Ihre Zwecke ist das in Ordnung.

Sie erhalten einen Großteil des Verzeichnisses "% SystemRoot% \ System32" (viele DLL-Dateien usw.) und auch die Registrierung zurück.

Von dort aus sind die Anweisungen, die Shial (der eher wie SHODAN aussieht) veröffentlicht hat, der richtige Weg. Starten Sie "REGEDIT", markieren Sie "HKEY_LOCAL_MACHINE" in Ihrer lokalen Registrierung und verwenden Sie dann die Option "File / Load Hive ...". Wählen Sie die Datei aus dem "alternativen Speicherort" aus, der dem Teil der Registrierung entspricht, aus dem Sie Daten extrahieren möchten (diese Dateien haben keine Erweiterung):

  • SYSTEM - HKEY_LOCAL_MACHINE \ System
  • SOFTWARE - HKEY_LOCAL_MACHINE \ Software
  • SICHERHEIT - HKEY_LOCAL_MACHINE \ Sicherheit
  • SAM - HKEY_LOCAL_MACHINE \ SAM
  • STANDARD - HKEY_USERS.Default

Wählen Sie beim Laden des Bienenstocks einen beliebigen Namen aus, sofern dieser Name nicht bereits unter HKEY_LOCAL_MACHINE verwendet wird. Sie "mounten" diesen Hive in Ihre Live-Registrierung, ähnlich wie das Mounten eines NTFS-Volumes unter einem Verzeichnis (außer dass Sie den Registrierungsschlüssel nicht zum Mounten des Hives wie bei einem NTFS-Mount-Punkt erstellen müssen).

Wenn Sie fertig sind, entladen Sie den Hive, indem Sie den Schlüssel markieren, auf dem er gemountet ist (HKEY_LOCAL_MACHINE \ Whatever_name_you_chose) und einen "File / Unload Hive ..." ausführen.

Evan Anderson
quelle
Du bist die erste Person, die Shodan tatsächlich erkannt hat. Das ist traurig, sie müssen das Spiel wieder rausbringen.
Shial
@Shial: Eine gute Reihe von Spielen, die System Shock-Serie. System Shock 2 hat mich total erschreckt und in einem dunklen Raum mit Kopfhörern gespielt. Ich bekomme immer noch die Willies, wenn ich an die "Cybernetic Assasins" und die kleinen Geräusche denke, die sie machen. Ganz zu schweigen von den Spinnen ... oh Gott, die Spinnen.
Evan Anderson
5

Ich habe auf Server 2003 nicht viel damit gemacht, aber es sollte das gleiche sein wie in XP. Die Registrierung ist der Satz von Dateien, die in c: \ windows \ system32 \ config gespeichert sind. Die verschiedenen Dateien ohne Erweiterung (DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM) sind die eigentlichen Registrierungsstrukturen, und Sie können sie manuell in regedit einbinden, indem Sie auswählen Etwas wie HKEY LOCAL MACHINE, dann gehen Sie zu Datei und wählen Sie die Option zum Laden von Hive und wählen Sie dann die extrahierte Datei aus. Sie sollten nach einem Namen gefragt werden, unter dem Sie sie importieren können. Dann können Sie von dort aus darauf zugreifen. Es befindet sich unter einem Subhive, sodass es Ihre normale Registrierung nicht beeinträchtigt. Es muss in einen der Hauptbienenstöcke geladen werden, andernfalls ist die Option ausgegraut.

Shial
quelle
Prost, das hat funktioniert. Ich habe dich gewählt :) evan's war etwas detaillierter, also habe ich diese Antwort angekreuzt. Was ist die Etikette hier - es sieht so aus, als würden nur Stimmen für Wiederholungen gezählt und Ticks sind nur da, damit das OP sagen kann, welche verwendet wurde (und um die Antwort für andere zu "kleben"). Ist das richtig?
Phoenix8