Mit WinRE Registry offline editieren

Einer der nützlichsten Eigenschaften von WinRE ist das Vorhandensein vollwertiger Werkzeuge zur Registry-Bearbeitung. Fährt ein PC wegen einer Fehlkonfiguration nicht mehr hoch und kann auch der abgesicherte Modus nicht helfen, dies zu reparieren, lässt sich unter WinRE der Registry-Editor verwenden, etwa um fehlerhafte Treiber zu deaktivieren, einen Festplatten-Check zu veranlassen oder eine gerade vorgenommene Änderung wieder rückgängig zu machen.

Defektes System als Fremd-System laden

Hat man WinRE – per Bootoption über ‹F8› oder von einem Medium wie einem USB-Stick – geladen, wählt man zunächst das defekte als das zu reparierende System aus. Danach öffnet man eine Ein­gabe­auf­forderung und kann von dieser aus sowohl reg.exe als auch den graphischen Editor regedit.exe starten. Die Registry, die man hier zu sehen bekommt, ist allerdings nicht die des hilfebedürftigen Systems, sondern die von WinRE selbst. Erstere muss man zunächst einbinden.

Dazu dient im graphischen Registry-Editor der Menüpunkt Datei → Struktur laden. Sie funktionieren jeweils nur, wenn man sich auf einem echten Hive der Registry befindet, also etwa Hkey_Local_Machine oder Hkey_Users. Hier kann man die Registry des rettungsbedürftigen Systems als Datei einhängen, also etwa D:\Windows\System32\config\SYSTEM unter Hkey_Local_Machine. Dabei vergibt man jeweils einen Namen zur Identifizierung der fremden Registry, etwa corrupt für ein nicht mehr startendes System. Im Weiteren bearbeitet man dann etwa die Schlüssel unter Hkey_Local_Machine\Corrupt\ControlSet001. Analog bindet man die ntuser.dat eines Benutzers unter Hkey_Users ein und vergibt hier ebenfalls einen sprechenden Namen.

Das Ganze kann man bereits vor dem Start des graphischen Registry-Editors erledigen: Die Zeile

tut das Gleiche wie das oben beschriebene graphische Verfahren, kann aber per ‹Tab›-Kommando­zeilen­vervoll­ständigung für routinierte Administratoren schneller sein als die Auswahl der Registrier­datenbank im Datei-Dialog.

Offline editieren und entladen

Wichtig beim Bearbeiten der Offline-Registry ist, dass es keinen Schlüssel CurrentControlSet gibt. Dieser bezeichnet bei einem gestarteten System die gegenwärtig im Speicher befindliche Konfiguration, die beim Herunterfahren nach ControlSet001 geschrieben wird, während ein Backup des beim vorigen Herunter­fahren geschriebenen ControlSet001 als Backup in ControlSet002 gesichert wird. Die im Windows-Bootmenü angebotene Möglichkeit, die letzte als funktionierend bekannte Konfiguration zu laden ist nichts anderes, als dieses Backup für den Start zu verwenden, also statt des normalerweise dafür in Frage kommenden ControlSet001 als CurrentControlSet zu laden.

Änderungen der Dienste und Treiberkonfiguration sind deshalb an Hkey_Local_Machine\Corrupt\ControlSet001 vorzunehmen, um bei den Benennungen in diesem Beispiel zu bleiben.

Nachdem alle Änderungen vorgenommen sind, entspricht es einer sauberen Arbeitsweise, die Registrierdatenbank wieder zu entladen und damit zu speichern. Dazu geht man wiederum auf einen echten Hive und wählt aus dem Menü den Punkt Datei → Struktur entladen. Auf Ebene der Kommandozeile entspricht diesem der reg.exe-Befehl

Das ganze Verfahren funktioniert übrigens nicht nur unter WinRE: Man kann auch im Registry-Editor jeder beliebigen anderen gestarteten Windows-Version Registrier­daten­banken zur Offline-Bearbeitung laden.