Восстановление реестра - Отсутствует корневой ключ

Не стесняйтесь обращаться с проблемами по реестру. Постараюсь помочь с восстановлением, экспортом, отвечу на интересующие вопросы.
Отсюда можно написать письмо (прямо с сайта), или пошлите сообщение по icq (так быстрее).

Восстановление реестра - Отсутствует корневой ключ

После окончания работы Registry Checker'а в логах видим следующую картину:

ChkNtHdr.log

NTUSER.DAT
=[header]======================================================================
 signature      - correct
 version        - 3 (NT/2K/XP)
 rootkey offset - 00000020h (32) is wrong. (00001020: 00000FE0)
 data size      - 00322000h (3284992)
 check sum      - correct
Warning: Sequence1 and Sequence2 <> 1. Updated.
Warning: timestamp is not null. Updated.

... skip ...

ChkNtBlk.log

NTUSER.DAT
=[datablocks]==================================================================
---------------------------
 Address  Del   Size   Type
--------- --- -------- ----

... skip ...

MaxSize   00040000h
MinSize   00000008h
MaxFree   00001C70h
TotalFree 00041D90h
TotalUsed 002DC550h
*** WARNING *** Root key was not found.

ChkNtLnk.log

NTUSER.DAT
=[links]=======================================================================

... skip ...

00007020:  nk (00001080: 00000000) ^security is wrong
000070A8:  nk (00001020: 00000FE0) ^parent is wrong (may be lost record)
000070A8:  nk (00001080: 00000000) ^security is wrong
00007620:  nk (00001020: 00000FE0) ^parent is wrong (may be lost record)
00007620:  nk (00001080: 00000000) ^security is wrong
00007730:  nk (00001080: 00000000) ^security is wrong

... skip ...

*** following blocks can be restored
00001348 nk cnt:00000026h MaxLen:00000070h ind1:00002FE8h
00001080 sk cnt:000001E1h MaxLen:00000138h ind1:000381C0h ind2:00066110h
000011B8 nk cnt:00000001h MaxLen:00000060h ind1:00014428h
00001020 nk cnt:00000009h MaxLen:00000060h may be root!
00001218 sk cnt:0000000Bh MaxLen:00000130h ind1:0025EE18h ind2:000393E8h
000013B8 nk cnt:00000000h MaxLen:00000108h ind1:0011BDF0h
000014C0 nk cnt:00000000h MaxLen:00000110h ind1:0011BDF0h
000015D0 nk cnt:00000000h MaxLen:00000108h ind1:0011BDF0h
000016D8 nk cnt:00000000h MaxLen:00000100h ind1:0011BDF0h
000017D8 nk cnt:00000000h MaxLen:00000140h ind1:0011BDF0h
00001918 nk cnt:00000000h MaxLen:000000D8h ind1:0011BDF0h
000019F0 nk cnt:00000000h MaxLen:00000110h ind1:0011BDF0h
00001B00 nk cnt:00000000h MaxLen:00000100h ind1:0011BDF0h
00001C60 nk cnt:00000000h MaxLen:000000C0h ind1:0011BDF0h
00001D20 nk cnt:00000000h MaxLen:00000100h ind1:0011BDF0h
00001E20 nk cnt:00000000h MaxLen:000000E8h ind1:0011BDF0h
00001F08 nk cnt:00000000h MaxLen:00000460h ind1:0011BDF0h
00001C00 nk cnt:00000000h MaxLen:00000060h ind1:0011BDF0h

Т.е., явно потерян корневой ключ. Визуально, сегмент, в котором, по всей видимости, он должен находиться, пуст (забит нулями; это до проверки, после проверки - dword 4). В списке блоков для восстановления видим запись с адресом 1020h, помеченную как возможный корневой ключ - на нее есть ссылки, как на родителя (9 штук), ни один из индексов ключей на нее не ссылается, адрес совпадает с адресом корневого ключа из заголовка (20h). Максимальный размер - 60h байт, поскольку по адресу 1080h обнаружен удаленный блок защиты.

Восстановим корневой ключ вручную с помощью какого-либо шестнадцатеричного редактора (например, HIEW или BIEW). Для этого нам сначала потребуется сначала прикинуть значения всех полей (см. Справочник). Не забываем, что все адреса указываются относительно начала данных (физический адрес = логический адрес + 1000h).

Блок ключа
00h	dword	размер блока	FFFFFFA8h	(-58h) должен быть кратен 4; поскольку блок используемый, то значение должно быть отрицательным; вычисляем последним
04h	word	( nk ) - сигнатура	6B6Eh
06h	word	флаг	2Ch	корневой ключ и юникоды не используем
08h	qword	время создания	0	любое значение (можно из другого ключа)
10h	dword	не известно	0
14h	dword	указатель на родителя	FFFFFFFFh	корневой ключ не должен иметь ссылки на родителя
18h	dword	количество потомков	0Ah	(см. последний лог; в нем указано 9 найденных ссылающихся потомков, но в индексе указано на одного больше - он потерян, и может быть восстановлен)
1Ch	dword	неизвестно	0
20h	dword	указатель на индекс по потомкам	13428h	находим индекс, который ссылается на потомков (lf, lh, li); проверяем, нет ли для него корневых индексов (ri); если индекс не найден, то его надо создать самим; в данном случае индекс найден по физическому адресу 14428h
24h	dword	неизвестно	0
28h	dword	количество параметров	0	поскольку, параметры не имееют ссылки на владельца и найти их нет возможности
2Ch	dword	указатель на индекс по параметрам	FFFFFFFFh
30h	dword	указатель на блок защиты	80h	обычно корневой ключ ссылается на блок защиты следующий непосредственно за ним; в данном случае этот блок защиты отсутствует (см. лог - 1080h); можно использовать любой другой блок защиты
34h	dword	указатель на имя класса	FFFFFFFFh	аналогично параметрам, к тому же имя класса обычно находится сразу за блоком ключа, и скорее всего удалено
38h	dword	неизвестно	0
3Ch	dword	неизвестно	0
40h	dword	неизвестно	0
44h	dword	неизвестно	0
48h	dword	неизвестно	0
4Ch	word	размер имени ключа	8	(имя не в юникоде)
4Eh	word	размер имени класса	0
50h	имя ключа		.Default	(поставим это значение, подсмотрев в другой файл ntuser.dat)

Т.о., получаем следующий набор байт, характеризующих наш корневой ключ:

0000001020: A8 FF FF FF 6E 6B 2C 00 | F0 FB 18 64 45 9C C2 01    nk
0000001030: 00 00 00 00 FF FF FF FF | 0A 00 00 00 00 00 00 00
0000001040: 28 34 01 00 00 00 00 00 | 00 00 00 00 FF FF FF FF
0000001050: 80 00 00 00 FF FF FF FF | 00 00 00 00 00 00 00 00
0000001060: 00 00 00 00 00 00 00 00 | 00 00 00 00 08 00 00 00
0000001070: 2E 44 65 66 61 75 6C 74 |                          .Default

Если корневой ключ потерян, а также потеряны ключи на него ссылающиеся, можно создать его таким же образом, только в качестве индекса по потомкам указать адрес нового индекса, который надо создать вручную и прописать в него адреса всех потеряных ключей, ненашедших родителей.