Windowsはいつレジストリの変更をディスクに書き込みますか？

TL; DR：

レジストリを変更してからWindows 10システムをハードシャットダウンすると、再起動後にレジストリの変更が表示されないことに気付きました。

また、休止状態ファイルを削除すると、Linux回復ツールがオフライン状態のWindowsレジストリを変更する機能に影響を与える可能性があることに気付きました。このツールは、休止状態ファイルの削除後に永続的な変更を加えることができないようです。以下に具体例を示します。

例1：

• 「1111」というキーを「HKLM \ SOFTWARE」に追加します。次に、電源ボタンを5秒間押し続けることで、ボックスの電源を完全にオフにします。
• 
• レジストリを元に戻すと、そのキーとその値はなくなります。
• 
• （これらの画像はフォーマットのために編集されました）

例2：

• レジストリを変更します（regeditを使用）
• システムを休止状態にする
• Linux回復ツールを起動します
• ディスクをマウントするには、休止状態ファイルを削除します。
• Windowsのレジストリを読み取る（回復ツールから）
• レジストリの変更はなくなりました。

これは、ボックスのハードシャットダウンに相当するようです。

例3：

私は次のときに見知らぬ人の行動を見ます：

• ボックスを休止状態にする
• Linux回復ツールを起動して、休止状態ファイルを削除します
• レジストリを変更する（回復ツールから）
• ボックスを再起動します

これらの変更はレジストリにも反映されません。

ここで何が起こっているのでしょうか？

• Windows 10はいつレジストリの変更をディスクに書き込みますか？
• 休止状態ファイルを削除すると（例3）、回復ツールで行ったレジストリの変更が次回のブートに反映されないのはなぜですか？

明確化を望んでいます！

TL; DR：システムを適切にシャットダウンします。

休止状態はシャットダウンとは関係ありません。RAMの内容がディスクにプッシュされ、システムが中断したところから動作が再開されるため、RAMへのサスペンド（スリープ）と密接に関連しています。 。

変更を保持したい場合は、休止状態と Windows Fastboot（休止状態のサブセット）を無効にする必要があります。または、休止状態にして再起動するのではなく、実際に再起動することができます。

変更が永続化されない理由は、休止状態ファイルを除いてまだディスクに書き込まれていないためです。これを削除します。つまり、ファイルシステムはそれ自体を修復し、「最後の正常な」状態に戻らなければならない場合があります。

システムが休止状態になっている間、いくつかの重要なファイルシステム構造がディスクに書き出されていない可能性があり、代わりにRAMにあります。システムは、休止状態から再開すると、ディスクが非常に特定の状態にあることを期待し、ディスクキャッシュと重要なシステムファイルが実際のディスクではなく休止状態ファイルに保存される可能性があります。

その場合は、適切なシャットダウンをし、Windowsはディスクに正しくフラッシュワーキングメモリになり、その後、電源を切る前に、きれいにディスクをアンマウントします。

適切なシャットダウンを強制するには、コマンドプロンプトを開き、次を入力します。

shutdown /s /f /t 0

/sは、/f強制的に/t 0「今」を意味する「シャットダウン」です（時間= 0秒）

または、fastbootと休止状態を無効にすることもできます。

詳細については、HowtoGeek：シャットダウンしてもWindows 10が完全にシャットダウンしない（ただし、再起動する）

ハードシャットダウンを実行することに関連して、Windowsは、変更を加えたのと同じミリ秒（または分）でディスクに変更を書き込むことが保証されていないという問題があります。ほぼ確実に数分以内に書かれますが、実際に書かれたことの確率は時間とともに増加します。すぐに書かれることはまずありませんが、変更を加える時間の近くで確率は急激に増加し、ほぼ確実に1時間以内に書かれます。

ただし、ハードシャットダウンを強制することにより、システムに変更を安全にディスクに書き込む機会を与えていないということです。

最新のファイルシステムのほとんどは、可能な限り安全な方法で変更を行うために書かれています。過去には、変化が起こったかそうでないかのように、それらは「アトミック」と呼ばれていました。

今日では、システム障害やリブートの場合に元に戻すかロールフォワードすることができる操作のログを保持するため、それらをジャーナリングファイルシステムとして認識しています。電源障害からの起動時に、システムはジャーナルをチェックし、各トランザクションについて、実際のファイルデータがディスクに書き込まれて「正常」であるかどうかをチェックします。その場合、トランザクションはロールフォワードされて完了し、そうでない場合は、古いデータにロールバックします。

この順序を使用すると、ディスクはほとんどの場合、簡単に修復できる状態になります。

しかし、システムの電源を予期せずに強制的に停止すると、トランザクションが修復時にロールフォワードできるほど十分に進行したかどうかを保証できません。また、LinuxなどのオペレーティングシステムはWindowsほどトランザクション履歴を気にせず、前方にではなく後方にすべてをロールする変更を行うだけではありません。

Windowsを再起動すると、ファイルシステムの詳細な知識があるため、ディスクを適切に修復または修復できる場合があります。

以下のMSDNページに記載されているRegFlushKeyとおり：

RegFlushKeyの呼び出しは、ディスクの帯域幅を消費し、フラッシュ操作が完了するまでフラッシュされるレジストリハイブ内のすべてのプロセスによるすべてのキーへの変更をブロックするため、システム全体のパフォーマンスに大きく影響する高価な操作です。RegFlushKeyは、レジストリの変更が変更後すぐにディスクに保持されることをアプリケーションが保証する必要がある場合にのみ、明示的に呼び出す必要があります。キーに加えられたすべての変更は、ディスクにフラッシュする必要なく、他のプロセスに表示されます。

また、レジストリには、定期的な間隔でレジストリの変更をディスクにフラッシュする「遅延フラッシュ」メカニズムがあります。この通常のフラッシュ操作に加えて、システムのシャットダウン時にレジストリの変更もディスクにフラッシュされます。「遅延フラッシュ」を使用してレジストリの変更をフラッシュすることは、ディスク上のレジストリストアへのレジストリの書き込みを管理する最も効率的な方法です。

これは、特定のキーをすぐにディスクにフラッシュすること（フラッシュが完了するまで他の全員をレジストリからロックアウトする）を除いて、レジストリは定期的に自動的にフラッシュされることを示唆しています：時間は与えられませんが、少なくともそれ以上ですキーの書き込みとハードシャットダウンの間に待機した時間。さらに、既にわかっていたように、シャットダウン時にフラッシュされます。

RegFlushKey上記のキーを操作するソフトウェアの機能を使用するか、使用状況に応じてレジストリキーをディスクに即座に書き込むための追加ツールを作成できます。

TL; DR：適切なタイミングでこれを行うことは非常に慎重です。

上のドキュメントにFSCTL_MARK_AS_SYSTEM_HIVEは次のように書かれています：

FSCTL_MARK_AS_SYSTEM_HIVE制御コードは、指定したファイルは、レジストリのシステムハイブが含まれていることを、ファイルシステムに通知します。ファイルシステムは、デッドロックを回避し、データの整合性を確保するために、適切なタイミングでシステムハイブデータをディスクにフラッシュする必要があります。

これ以上詳細が公開されているとは思わない。

レジストリはファイルシステム上でキャッシュを実行できるため、ファイルシステムのフラッシュはレジストリのフラッシュを意味しないことに注意してください。最初にレジストリをフラッシュするには、何らかの方法で目的のキーを呼び出すか、呼び出す必要があります。NtFlushKeyZwFlushKey