Restore del Registry in Windows 10 1803 e successive da una Shadow Copy usando il Command Prompt

Avviare in ambiente WinPE e andare alla directory windows\system32

vssadmin.exe list shadows

In questo esempio, l'ultima copia shadow è stata eseguita il 20/10/2016 4:02:40 e ha come percorso: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy6 \

Montare il punto di ripristino (shadow copy) in modalità sola lettura nella cartella c:\ShadowCopy utilizzando lo strumento mklink 

mklink /D C:\ShadowCopy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy6\

Ora è possibile accedere ai file memorizzati nel volume shadow. Basta copiare e sostituire i file di registro usando i seguenti comandi:

xcopy c:\shadowCopy\ Windows\System32\config\DEFAULT c:\Windows\System32\config

xcopy c:\shadowCopy\ Windows\System32\config\SAM c:\Windows\System32\config

xcopy c:\shadowCopy\ Windows\System32\config\SOFTWARE c:\Windows\System32\config

xcopy c:\shadowCopy\ Windows\System32\config\SECURITY c:\Windows\System32\config

xcopy c:\shadowCopy\ Windows\System32\config\SYSTEM c:\Windows\System32\config