Windows7の破損したRegBackファイル

分析

これによると フォレンジック記事 、SYSTEMのファイルタイプも「MSWindowsレジストリファイル」である必要があります。

結論：システムハイブは実際に破損しています。 ASCII string "regf"を含む必要がある最初の4バイトにある署名を自分で確認することもできます。

上記の記事では、 metasploitテストフレームワーク を使用しています。これは、非常に興味がある場合は、SYSTEMHiveのコンテンツをテストするためにも使用できます。

復元方法1：システムイメージを復元します

システムディスクのイメージバックアップがある場合は、それを復元する必要があります。そうでない場合は、読み進めてください。

復元方法2：システム修復ディスクを使用してシステム復元ポイントを復元します

システムの復元が有効になっている場合は、以前のシステムの復元ポイントでレジストリハイブのワーキングセットが見つかる可能性があります。無効になっている場合は、方法4にスキップしてください。

システム修復ディスクの作成 を実行した場合、復元ポイントから復元できます（ リンク ）：

• システム修復ディスクで起動
• キーボードの言語設定を選択し、[次へ]をクリックします
• コンピュータの修復をクリックします
• 復元するオペレーティングシステムを選択し、[次へ]をクリックします
• 選択 システムの復元

これは個人用ファイルには影響しませんが、PCの問題を引き起こしている可能性のある最近インストールされたアプリ、ドライバー、および更新プログラムを削除します。

復元方法3：Windowsブートメディアを使用したシステムの復元ポイントからの復元

リカバリドライブを作成したことがない場合でも、すべてが失われるわけではありません。

• 動作中のPCで、 MicrosoftソフトウェアダウンロードWebサイト にアクセスし、一致するISOをダウンロードします。これには、有効な製品アクティベーションキーが必要です。
• Windows USB/DVDダウンロードツール を使用してブートメディアを作成します。
• 作成したインストールメディアを機能していないPCに接続し、電源を入れます。 （コンピューターがそのメディアから起動することを確認してください。PCの起動順序を変更する必要がある場合があります。）
• システム回復オプションを選択します
• [システムの復元]を選択して、上記のように続行します。

次の記事には、詳細とスクリーンショットがあります。
Windows 7でシステムの復元を行う方法 。

方法4：データを保存して新規インストールを実行します

システムの復元を有効にしなかった場合は、Windowsを再インストールする必要があると思います。

次のいずれかの方法でファイルを保存できます。

• Windows 7：起動時のコマンドプロンプト 、
• Linuxライブブートメディアで起動します。

Windowsを復元するときが来たら、Windows7ブートメディアから再インストールします。

同様のコンピューターからファイルC：\ Windows\System32\config\SYSTEMを置き換えることをお勧めします（OSバージョン、OS構成、UI言語、レイアウトは同じである必要があります）。

このファイルはHKEY_LOCAL_MACHINE\SYSTEM Hiveを参照しており、インストールされているアプリケーションに関係のないグローバルなシステム設定がほとんど含まれているため、インストールされているアプリは2台のコンピューターで異なる場合があります。

一部の設定がソースコンピューターと宛先コンピューターで異なる場合でも、SYSTEMファイルが破損しているかどうかの手がかりが得られるはずです。