hrwsiggi
Goto Top

Registry Hive offline einer vorhandenen Registry hinzufügen

Hallo.

Folgendes Szenario:
Ich habe eine Windows 7-Installation. Während der Laufzeit wird durch ein Programm ein UnloadKey auf die Registry-Hives "COMPONENTS" und "SOFTWARE" durchgeführt.
Ein UnloadKey führt ja nur dazu, dass die "Verknüpfung" zur laufenden Registry aufgehoben wird. Das heißt die Datei "COMPONENTS" z.B. ist danach immer noch in "C:\Windows\system32\config" vorhanden.
Das Ausführen des Programms hat natürlich zur Folge, dass die Maschine nach einem Neustart nicht mehr funktioniert und auch schon während der Laufzeit einige Programme (die nicht bei jedem Start nochmal ihre Registry-Einträge schreiben) Probleme bekommen.

Wenn ich während das System noch läuft den Registry Editor aufrufe und unter HKLM "Struktur laden/Load Hive" betätige und die genannte COMPONENTS-Datei auswähle, wird diese auch wieder der Registry hinzugefügt und kann die Maschine neu starten und sie wird ganz normal booten.

Mein Problem ist jedoch:
Was ist wenn ich die Maschine schon vorher neu gestartet habe und ich eben nicht mehr in Windows rein komme (in diesem Fall gibt es einen Bluescreen mit STOP 7B).

Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzufügen.


Klar kann ich ein Windows (PE)-Medium booten und dort die Kommandozeile nutzen. Dort kann ich auch regedit starten. Das problem ist aber, dass dort nur die temporäre Registry des Bootmediums geladen wird. Dort kann ich zwar einzelne Hives wie eben SOFTWARE oder so reinladen und die Values etc. anpassen, aber das bringt mir ja nichts.

Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzuzufügen!


Hat da jemand eine Idee?
Bin echt am verzweifeln.


Gruß,
HrwSiggi.

Content-Key: 342301

Url: https://administrator.de/contentid/342301

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: BassFishFox
BassFishFox 03.07.2017 aktualisiert um 18:15:47 Uhr
Goto Top
Hallo,

Während der Laufzeit wird durch ein Programm

Finde das Programm und toete es.
Such Dir einen Registry-Monitor und lass den ueberwachen, welches Programm mit welchen Rechten was an der Registry macht.

https://www.windowspro.de/tool/registry-aenderungen-ueberwachen-regfroma ...

Fuer den Rest.

https://social.technet.microsoft.com/Forums/windows/en-US/fceadaef-72c1- ...

BFF
Mitglied: 114685
114685 03.07.2017 um 18:14:22 Uhr
Goto Top
@to

Viel hilft nicht viel, sondern bewirkt das Gegenteil. Ein Thread reicht!
Mitglied: HrwSiggi
HrwSiggi 04.07.2017 aktualisiert um 10:16:55 Uhr
Goto Top
Hallo.

Vielen Dank für die Antwort, aber ich weiß wie ich Änderungen in der Registry überwache und ich weiß auch welcher Prozess das macht.

Leider geht das am eigentlichen Thema vorbei.

Es geht mir in diesem Thread hauptsächlich um:

Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzuzufügen.
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzufügen!

Die in dem Thread verlinkte Restore-Methode beschreibt nur eine Möglichkeit wie ich eine kaputtkonfigurierte oder zerstörte Datei eines Hives wiederherstellen kann.
Die Hive-Datei ist ja aber noch vorhanden und sie ist auch nicht kaputt. Sie wurde aus der Registry ENTLADEN (UnloadKey-Methode).


@114685

Danke für den Hinweis. Ich empfand es jedoch als korrekt zwei verschiedene Themen hier zu eröffnen.
In diesem Thread hier geht es nur um eine Lösung/Möglichkeit eben diese Sache mit der Registry zu lösen.

In dem anderen Thread geht es darum was genau für ein Problem sich in unserem Netzwerk abspielt, etc. .
Mitglied: 133417
133417 04.07.2017 aktualisiert um 10:18:05 Uhr
Goto Top
Hi.
Ein Unload ist aber kein permanenter Vorgang, denn nach einem Neustart werden normalerweise die Links zu den System-Hives wiederhergestellt. Dein ominöses Programm ändert wohl noch etwas anderes an dem System, also bekämpfe die Ursache anstatt mit irgendwelchen Tricks so ein System wieder auf die Beine zu stellen. Benutze Applocker / SRP und lass das Programm ins leere laufen, stelle fest woher es kommt und beseitige es.
Lese zu Registry-Interna auch folgenden Artikel: http://www.techsupportalert.com/content/deeper-windows-registry.htm

Gruß
Mitglied: HrwSiggi
HrwSiggi 04.07.2017 um 10:23:43 Uhr
Goto Top
@133417

Hallo.
Hmm, das ist in der Tat dann nicht der Fall, denn wie gesagt läuft das System nach einem Neustart in einen STOP 7B BlueScreen, weil es eben wohl Treiber nicht mehr korrekt laden kann.

Wie beschrieben kann ich aber, solange das System nicht neu gestartet wurde, den Hive per Regedit einfach wieder einfügen und dann funktioniert es auch.
Wieso funktioniert das?
Mitglied: 133417
133417 04.07.2017 um 10:30:56 Uhr
Goto Top
Wie gesagt, beseitige die Ursache und nicht die Folgen dieser.
Wieso funktioniert das?
Weil dein System abnormal modifiziert wurde.
Mitglied: SamvanRatt
SamvanRatt 04.07.2017 um 16:57:59 Uhr
Goto Top
Hi HrwSiggi
abgesehen von den "AugenBrauen hochzieh" verwunderung von so einem Vorgang (ich bin seit 1993 mit NT unterwegs und habe viel gesehen....) wird das sicher auch via Registry (lade nicht den Teil X) gemacht. Offline bietet sich dann sowas wie der PE-RegistryLoader um den "Lade den Teil X nicht) zurückzusetzen.
Herausfinden wo das gemacht wird, da wäre meine Methode: Reg Export vor dem Problem, einer nach dem Vorgang (ohne Neustart) und dann via beyond Comapre oder sowas die Regs vergleichen lassen. Mit Reg Monitoren finde ich unübersichtlich, wenn tausende Einträge verändert werden und einer Marode ist.
Gruß
Sam