Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 06.12.2013, 11:59   [включить плавающее окно]   #1
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Восстановление удалённых разделов реестра в win 7 и ХР

Суть такая - из реестра были зачищены следы всех подключаемых ранее USB устройств (внешние диски, флешки, модемы, телефоны) средствами софтин "USB Oblivion" и "USB Deview" и от ранее установленного софта (игр, лишних программ), далее ручная чистка от оставшихся следов (поиск по именам устройств и программ, потом вруччную удаление всех неизвестных устройств в разделах USB и UMB (неизвестные USB VID), очистка следов от созданных сетей в разделах TCP).
Для чистки реестра использовался внешний редактор реестра из ERD Commander, т.к. через систему многие разделы реестра не удаляются даже после смены разрешений.
Удаление всех папок и файлов от установленного софта и точек отката.

После таких действий возможно восстановление инфы, что к компу что-то подключалось? Просто реально восстанавливают проверяющие, но не могу понять как именно, что надо ещё дотереть. Может свободное место затереть нулями в пару проходов?

Там, где можно снести систему, я так и сделал - развернул готовый образ диска, где нет ничего лишнего.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 06.12.2013 в 12:01.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 12:06   [включить плавающее окно]   #2
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
реально восстанавливают проверяющие
Для WinXP была такая программка - NTregOpt.
После неё, правда, ещё придётся удалять файлики .bak - но это ты уж руками...
Суть в том, что, когда ты что-то там в реестре "удаляешь", данные просто помечаются "удалёнными", но физически, как и положено для любой БД, остаются на месте. Софтинка позволяет именно удалить всё "удалённое" и уменьшить размер кустов реестра...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 12:14   [включить плавающее окно]   #3
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Может свободное место затереть нулями в пару проходов?
Если конкретно о затирании - и одного будет достаточно. И думаю что лучше не нулями, а рандомом.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:07   [включить плавающее окно]   #4
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Да, нашёл такую http://www.larshederer.homepage.t-on...runt/index.htm она совместима и с 7 с некоторыми поправками, типа присвоения буквы диску, зарезервированному системой.
Насколько она успешно удаляет уже удалённое? Риски высоки, потому и подготовил образ готовой системы, с которого всё разворачивается, но не везде можно сносить систему к сожалению.

garniv
Тогда пройдусь случайными числами, надеюсь это не займёт много времени на 1 ТБ винтах
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:25   [включить плавающее окно]   #5
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Насколько она успешно удаляет уже удалённое?
Это несложно проверить: создай саморучно какую-нить ветку с каким-нить параметром, присвой ему выдуманное уникальное значение, удали, пройдись программкой, потом скопируй с этого диска (на другой машине - а то кто тебе позволит открывать кусты "на живую"?!. ) нужный куст и поищи в нём вхождение своего уникального значения...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:32   [включить плавающее окно]   #6
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
На том же сайта как раз есть утилитка восстановления реестра, сейчас пойду проверю -)
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:36   [включить плавающее окно]   #7
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
BTW: А ты описание NTregOpt поленился прочитать?
Цитата
The program works by recreating each registry hive "from scratch"
Так что она даже не "удаляет", а создаёт заново - но уже без того, что ты сам удалил...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:40   [включить плавающее окно]   #8
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Пардон, описание кратно пробежался...
А утилита восстановления на том сайте к сожалению восстанавливает только из собственного ранее сделанного бэкапа (( потому для проверки непригодна
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:43   [включить плавающее окно]   #9
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
для проверки непригодна
Цитата (Smirnoff) »
потом скопируй с этого диска (на другой машине - а то кто тебе позволит открывать кусты "на живую"?!. ) нужный куст и поищи в нём вхождение своего уникального значения...
Причём, не загрузкой этого куста в regedit, а каким-нибудь двоичным/текстовым просмотрщиком (Far Manager там, или TC к примеру).
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:49   [включить плавающее окно]   #10
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
А я сейчас пойду к зачищенному ранее компу и там попробую глянуть, удалённые сразу увижу, если они остались.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:50   [включить плавающее окно]   #11
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
удалённые сразу увижу, если они остались
Это тебе нужно точно помнить, что именно там было, в значених/названиях удалённых...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 13:54   [включить плавающее окно]   #12
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
А я помню, т.к. только время чистил реестр там.

Я правильно понял, что при экспорте реестра в файл все мои удаления там будут отображены?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 14:04   [включить плавающее окно]   #13
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
при экспорте реестра в файл все мои удаления там будут отображены?
Ты вообще нифига не понял...
Ещё раз: при просмотре через regedit, при экспорте из него-же - ты никогда ничего "удалённого" не увидишь; я тебе потому и предлагаю подключить HDD к другой машине и просматривать файлы реестра другим просмотрщиком (которому вообще напилювать на внутреннюю структуру реестра и на метки "удаления").
__________________
С уважением,
Олег Р. Смирнов

Последний раз редактировалось Smirnoff; 06.12.2013 в 14:10.
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 14:13   [включить плавающее окно]   #14
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Блин, реально туплю, видимо от недосыпа, последнюю неделю больше 4х часов не получается спать

Я тогда с WinPE загружусь, как раз другая система - должно же сработать?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 14:25   [включить плавающее окно]   #15
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
с WinPE загружусь
Ну тоже вариант.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 20:18   [включить плавающее окно]   #16
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Посмотрел под WinPЕ 7 x32, большая часть ранее удалённых ключей действительно видна, но не все.
Загрузил систему, прошёлся "NTregOpt", она удалила около сотни ключей, перезагрузил, снова загрузился под WinPE - небольшая часть удалённых ключей всё равно осталась видна, программа чистит где-то на 80%, но руками всё равно надо дочищать.

Видимо нет гарантированного простого метода кроме переустановки системы и затирания оставшегося свободного места
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 20:23   [включить плавающее окно]   #17
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
нет гарантированного простого метода кроме переустановки системы
Отчего-же? Подключи внешний диск по eSATA, поставь систему на него - ни и всё, собсно...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.12.2013, 20:47   [включить плавающее окно]   #18
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
eSATA на материнках нет, эти централизованные поставки поставляют одно барахло и отказаться от него нельзя и проблемные через одного и для гарантийного обслуживания концов не сыщешь ((

Я акронисом разворачиваю образы установленной системы, куда поставил весь необходимый софт из разрешённого.

Хотел узнать - если подрубать внешние диски по FW или eSATA, то они также будут светиться в реестре в тех же ветках?

PS: наткнулся на отличную идею:
"- Достали уже, приходят со своими флешками/фотиками, втыкают без спроса. Им, видите ли, надо.
- Сделай, как Мишаня.
- ?
- Он на USB на передней панели вывел 12 вольт от блока питания. Теперь к его компьютеру никто никогда не подходит."
(с)
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.12.2013, 14:09   [включить плавающее окно]   #19
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Ещё один вопросик - если не проводилось затирание данных с диска перезаписью поверх нулями или случайнми числами, потом был развёрнут димп всего диска с новой системой, то для затирания оставшегося свободного места возможно использование проверки диска с выбором "проверять и восстанавливать поврежденные сектора"? Т.е. проверка каждого свободного сектора должна убить ранее содержащиеся там данные?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.12.2013, 07:59   [включить плавающее окно]   #20
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Т.е. проверка каждого свободного сектора должна убить ранее содержащиеся там данные?
С чего бы? Пытаться что-то записывать Винда будет лишь в те секторы, что покажутся ей "сомнительными"; но и в этом случае сначала будет создана копия того, что удалось с этого сектора прочитать...

eSATA на материнках нет
Это решается покупкой планочки с разъёмом eSATA и хвостиком SATA - после установки такой планки любой внутренний порт SATA становится "почти eSATA".
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:15. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey