一旦系统启动并运行,有没有办法获得%systemroot%\system32\config\system的副本? 我知道操作系统放在这个文件上的一个锁,以防止它被垃圾,但我所需要的是能够阅读它,足够长的时间来获取副本。 也许在“本地API”的东西会做到这一点?
您无法复制该文件的原因不是权限问题,或Windows对文件“保护”; 问题是,该文件始终在正在运行的系统上使用(并因此被locking)。
加载时,文件被映射到HKLM\System ; 您可以使用reg.exe导出文本和二进制格式的内容:
reg export HKLM\System system.reg reg save HKML\System system.hiv
第一个可以用任何文本编辑器打开; 后者是一个完整的二进制转储,可以通过在REGEDIT中加载来打开。
此外,请注意HKLM \ System的某些子项不存储在磁盘上,而是在操作系统运行时(最臭名昭着的是CurrentControlSet )。 所以,倾销/挽救他们可能是没有意义的。
我想你想要卷影复制服务 。
在服务器平台上, Diskshadow命令行界面可用。
除非您需要最新的副本,否则将文件从备份还原到其他位置可能会更简单。