系统启动并运行后,有什么方法可以获取 的副本吗%systemroot%\system32\config\system?我知道操作系统会锁定此文件以防止其被破坏,但我所需要的只是能够读取它,并能读取足够长的时间以获取副本。也许“本机 API”中的某些功能可以做到这一点?
答案1
您无法复制该文件的原因不是权限问题,也不是 Windows 对该文件进行“保护”;问题是,该文件在正在运行的系统上始终处于使用状态(因此被锁定)。
加载后,文件将映射到HKLM\System;您可以使用reg.exe以文本和二进制格式导出其内容:
reg export HKLM\System system.reg
reg save HKML\System system.hiv
第一个可以使用任何文本编辑器打开;后者是完整的二进制转储,可以通过在 REGEDIT 中加载来打开。
另外,请注意 HKLM\System 的某些子键不是存储在磁盘上,而是在运行时由操作系统填充(最臭名昭著的是CurrentControlSet);因此,转储/保存它们可能根本没有意义。
答案2
答案3
除非您需要最新的副本,否则有时将文件从备份恢复到其他位置会更简单。