Resultados 1 al 2 de 2

registro de windows

  1. #1 registro de windows 
    Avanzado
    Fecha de ingreso
    Jan 2008
    Mensajes
    170
    Descargas
    8
    Uploads
    0
    1. ¿Qué es el registro de Windows?

    El registro de Windows es una inmensa base de datos, que contiene toda la información relacionada con el sistema. Esta información se guarda en diferentes archivos dependiendo del sistema operativo que esté ejecutando nuestra máquina.

    2. ¿Cómo manipular el registro?

    Tenemos muchos y muy diversos medios para manipular el registro, tanto desde la línea de comandos como desde la propia interfaz gráfica de windows, iniciarlo desde la interfaz gráfica es quizás una de las formas más fáciles, solo tenemos que ir a inicio/ejecutar y teclear “regedit”.


    • Desde MS-DOS o desde una consola de comandos también tenemos otros medios para manipular el registro, el más popular en win9x era iniciar en “modo seguro con solo símbolo de sistema” y utilizar los modificadores que estaban disponibles iniciando mediante este modo, en WinXP, no hace falta iniciar en modo seguro para utilizar algunos de los modificadores de regedit, aunque no los he encontrado documentados, estos serían algunos de los más habituales:
    • Regedit /s nombre_archivo.reg, importa el archivo reg sin pedir confirmación.
    • Regedit /e nombre_archivo.reg, exporta la rama especificada en modo nativo; si no se especifica nada, se exporta toda la información del registro. Útil para hacer una copia de seguridad de todo el registro. ;-)
    • Regedit /a nombre_archivo.reg, exporta la rama especificada en formato regedit4 (utilizado por Win9x). Su funcionamiento es similar al anterior



    De todas formas, si soy sincero yo no he utilizado demasiado estos modificadores, puesto que en WinXP tenemos la potencia del comando reg, que está muy documentado en la Ayuda de Windows. Sus principales modificadores son:

    Reg add -> agrega una clave específica al registro
    Reg query > consulta una clave específica del registro
    Reg delete > borra una clave específica del registro
    Reg export -> (idéntico al comando “regedit /e”) exporta la configuración del registro o de la ramas especificadas.

    3. Desmitificando las herramientas limpiadoras del registro

    Ya hemos visto lo delicado que es el registro, por lo que su manipulación sin saber exactamente lo que estamos haciendo es muy peligrosa. Por ello, siempre es mejor utilizar las herramientas propias del sistema operativo antes que utilizar herramientas de terceros.

    En Win98, de hecho, hay una herramienta que permite revertir los cambios hechos en el registro a un estado anterior. Esta herramienta trabaja con copias espejo de como está el registro en un momento determinado, revirtiendo su estado completamente. Está herramienta evolucionó, y ahora se llama restaurar sistema; es más seguro, por tanto, revertir todo el registro completo a un estado anterior, que limpiar claves parcialmente. ¿Por qué?
    Porque las claves en el registro guardan relaciones con otras claves, y todas estas claves guardan relaciones, a su vez, con la estructura de los programas, con las que están relacionadas. Cualquier programador es libre de establecer estas relaciones con el registro, ya que la escritura en el mismo es libre. Un programa "limpiador" nunca podrá saber a ciencia cierta cuál es la estructura de estas relaciones, puesto que esto sólo lo puede saber fehacientemente el programador, es decir, que sólo él puede saber qué efecto tiene una clave sobre el funcionamiento general de su programa y del sistema operativo. Puesto que puede que un programa haga uso de las API's de Windows siendo, por tanto posible que este tipo de programas estimen que una clave esta parcialmente dañada y borre todas las relacionadas, habiendo la posibilidad de que borre claves que sean vitales para el normal funcionamiento del sistema operativo, y de que sea peor el remedio que la enfermedad.
    Por ello, nunca aconsejamos el uso de herramientas limpiadoras de Registro. Es siempre mejor restaurarlo completo a un estado anterior que limpiarlo parcialmente.

    4. Estructura del Registro


    En Windows 95/98, la información del registro esta guardada en dos archivos:

    USER.DAT Acumula la información relacionada sobre la configuración del usuario logueado en la máquina, es decir, las personalizaciones de escritorio, configuración del Panel de Control, etc. En resumen, toda la información del perfil de usuario/s existentes en la maquina

    SYSTEM.DAT Este archivo, en cambio, guarda toda la información relacionada de la máquina.

    En Windows XP la información se guarda en varios archivos referenciados en
    el directorio \windows\system32\config, y en la carpeta donde se guarda tu perfil de usuario en un archivo llamado ntuser.dat.


    Los ficheros que aparecen en \windows\system32\config, son


    1. Default
    2. Sam
    3. Security
    4. software
    5. System

    Estos ficheros, aparte del antes mencionado “ntuser.dat”, son denominados ficheros hive, es decir, ficheros en los que se acumula la información del registro en forma de cadenas, claves y valores. Todos estos ficheros son guardados regularmente durante el apagado del sistema, salvando la configuración del registro de la máquina.

    Precisamente una de las causas más comunes que nos impidan arrancar nuestro sistema, es la corrupción de estos ficheros hive; por diversas causas, tales como un fallo hardware, cortes de alimentación, etc.

    La forma más segura de restaurar nuestro sistema cuando hay un archivo de este tipo corrupto que impide que nuestra máquina se inicie, es hacer una restauración desde una consola de recuperación, copiando las claves estándar desde el cd de instalación.


    **/Cómo recuperar un Registro dañado que impide que Windows XP se inicie
    http://support.microsoft.com/kb/307545/


    Los archivos hive, son también guardados, en algunos casos, en el mismo directorio pero con diversas extensiones:

    Sin extensión. Contiene una copia completa de la clave del registro referenciada

    Alt. Copia de seguridad de la clave del registro, HKEY_LOCAL_MACHINE\System. Sólo la clave “sistema” pude tener una extensión .alt.

    Log. Archivo log, de transacciones que contienen los cambios en claves y valores de un hive seleccionado.

    Sav. Contienen copia de los hive utilizados, y que son volcados durante la configuración/instalación del sistema a los archivos hive definitivos.

    Finalmente todos los archivos que he referenciado están dedicados en Windows XP a guardar/almacenar una serie de claves especificas:


    HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav

    Referencia la configuración del perfil de hardware utilizada al iniciar el sistema. Sobrescribir el archivo system con la copia ubicada en el CD de instalación, nos obligará por tanto a hacer, probablemente, una reinstalación de todos los drivers del sistema.

    HKEY_CURRENT_USER Ntuser.dat, Ntuser.dat.log

    Es la raíz que contiene todos los perfiles de usuario, y un alias o subclave de la clave HKEY_USER, en donde se almacena el perfil de usuario actualmente logueado.


    La siguiente rama guarda información específica del registro, que se aplicará a cualquier usuario:

    HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
    En esta rama es la encargada de gestionar SAM, es decir, el Administrador de Cuentas de Usuario, o System Account Manager. La información de esta clave no es visible, puesto que encuentra encriptada, ya que en ella están todas las claves de los usuarios del sistema. Sobrescribir el archivo SAM con la copia ubicada en el CD de instalación nos hará perder todos los usuarios de la máquina a excepción del usuario Administrador de la máquina con el que siempre podremos iniciar sesión.

    HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav
    Describe los permisos y seguridad por defecto de la máquina. El contenido de esta clave tampoco suele ser visualizable desde el registro.

    HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav
    Contiene información de los componentes de Windows y del software diverso instalado en la máquina.

    HKEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav
    Esta clave es, sin duda, una de las más importantes de Windows XP, ya que en ella se guarda toda la configuración por defecto de la máquina, desde los perfiles de usuario, hasta el boot.ini, o secuencia de arranque, pasando por la distinta configuración por defecto de esa máquina…. Si copiamos el archivo “system” desde la copia del cd de instalación, perderemos toda la configuración de servicios y el perfil de hardware de la maquina

    HKEY_USERS\.DEFAULT Default, Default.log, Default.sav
    Cualquier WinNT, que permita ser multiusuario, como es el caso de WinXP, tiene almacenado un perfil de usuario, que es el perfil que se utiliza cuando creamos un nuevo usuario. Es decir, que en esta clave, se almacena toda esta configuración. Manipulando el contenido de esta clave podremos por tanto, modificar el perfil de usuario que se aplica por defecto.

    5. Otras Claves Importantes.

    En la entrega anterior ya vimos un referencia a lo que eran los archivos hive. En esta entrega, sólo recordar su finalidad, que no es más que la de volcar toda la información del registro que se contiene en una serie de claves y valores.
    Si analizamos el registro, nada más abrirlo, nos daremos cuenta de que esta dividido en cuatro grandes ramas:

    • HKEY_LOCAL_MACHINE
    • HKEY_CURRENT_USER
    • HKEY_CURRENT_CONFIG
    • HKEY_USERS
    • HKEY_CLASSES_ROOT

    Las ramas más importantes del registro, están contenidas precisamente en las primeras HKEY_LOCAL_MACHINE y HKEY_USER. El resto no son más que alias o subramas de estas dos, que derivan de ellas. Así, ya vimos cómo la clave HKEY_CURRENT_USER, derivaba en realidad de la clave HKEY_USERS, que contenía la información del archivo hive “ntuser.dat” que almacenaba las preferencias del usuario actualmente logueado. Si continuamos analizando, vemos la clave HKEY_CLASSES_ROOT, que no es en realidad más que un alias de la clave HKLM\Software\Classes y de la clave HKCU\software\Classes, contenido en otro archivo hive llamado software. Cualquier cambio en cualquiera de esas dos claves es inmediatamente reflejado en la clave HKEY_CLASSES_ROOT. Y por último otra de las claves importantes es HKEY_CURRENT_CONFIG, que deriva de otra clave: exactamente de HKLM\System\CurrentControlSet\Hardware Profiles\Current key.Así pues vemos cómo todas las ramas derivan en realidad tan sólo de dos: HKLM y HKEY_USER.
    Hagamos una descripción más detallada de estas claves:

    HKEY_CLASSES_ROOTEsta es una de las claves más extensas. Entre sus funciones están:

    - Mantener las asociaciones de los archivos, o grupos de extensiones, teniendo a su vez una referencia de las aplicaciones con las que son abiertos.
    - Mantener una referencia de los objetos y documentos OLE.

    Todas estas asociaciones entre extensiones y aplicaciones son mantenidas a través de un identificador de clase, o CLSID: Llo primero que vamos a ver si accedemos a esta clave en el registro, son precisamente las extensiones ordenadas por orden alfábetico. Posteriormente veremos una referencia a todas las aplicaciones con que son abiertas esas aplicaciones con una referencia a su CLSID. Precisamente entender el CLSID es lo más difícil de está rama. El CLSID o identificador de clase está formado por una serie de 5 grupos de digitos, que siguen este formato 8-4-4-4-12.

    Una de las formas más sencillas que tenemos de curiosear en esta clave sin abrir el registro, es mediante el uso de comandos, para ello tenemos dos órdenes que son claves: Assoc y ftype. Assoc, sin parámetros, nos mostrará todas las extensiones registradas en esa clave y el tipo de archivo registrado. ftype, en cambio nos mostrará la aplicación con la que es abierta.

    Un ejemplo: imaginemos que deseamos saber qué tipo de extensión es TXT y con qué programa se abre. Para ello desde el símbolo de sistema, tecleamos:

    assoc .txt
    la salida del comando nos devolverá,

    .txt=txtfile
    Si ahora deseamos saber a qué programa está asociado, no tenemos más que teclear,

    Ftype txtfile,
    Cuya sintaxis nos devolverá,

    txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1

    Es decir, que ya sabemos que las extensiones "txt" están correctamente registradas en su clave correspondiente y que el programa por defecto con el que se abren es el "notepad" (o bloc de notas).
    Todo esto es desde el símbolo de sistema. Pero, como siempre en Windows, tenemos un método a través de la interfaz gráfica que nos permitirá obtener está información también; es desde Mi PC > Herramientas > Opciones de carpeta > pestaña Ver. Desde ahí podemos consultar las asociaciones a nuestros archivos referenciadas en esa parte del registro y cambiar la asociación predeterminada.

    Pasemos a otra clave, HKEY_CURRENT_USERS. Como ya hemos visto, está clave contenida en el archivo hive ntuser.dat. Contiene la información de los perfiles de usuarios. Entre sus subclaves vemos las siguientes:
    AppEvents
    La clave "AppEvents" contiene toda una referencia de todas las asociaciones de sonidos con los diferentes eventos de sistema y también de las aplicaciones instaladas, con sus propios sonidos registrados.
    En esta clave encontramos otras dos subclaves:
    EventLabels, que lista todos los sonidos disponibles y sus asociaciones estándar y la clave Shemes, que lista un esquema de sonidos o la asociación actual entre sonidos/eventos de sonidos y las diversas aplicaciones.
    La forma más útil y cómoda de variar los esquemas de sonidos es desde Panel de Control > Dispositivos de sonido y audio, o desde las propias aplicaciones si así lo permiten.

    Control Panel
    La configuración del Panel de Control del usuario actualmente logueado en esta subclave. Hay varias claves más, pero hay una que quizás sea interesante recalcar, ya que desde ella podemos modificar desde la línea comandos toda la apariencia del escritorio del usuario que actualmente este logueado en el sistema; y es la clave desktop. Si vemos el panel de la derecha, observaremos diversos valores que son bastante explicativos, para los que entiendan inglés… Por ejemplo, el valor SCRNSAVE.EXE contiene el Fondo de Pantalla configurado para el usuario logueado en el sistema. Modificarlo desde la línea de comandos es facil hacerlo con el comando “reg”:

    Ejemplo:

    reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ
    /d "E:\Documents and Settings\fermu.MAQUINA.000\Configuraciónlocal\Dato s de programa\Microsoft\Wallpaper1.bmp"

    Más adelante profundizaremos en la forma de agregar valores al registro mediante línea de comandos.

    Environment
    Si abrimos esta clave, descubriremos en seguida cuál es su utilidad: son las variables de entorno especificadas para el usuario actualmente logueado. Estas variables son modificables desde Mi PC > Panel de Control > Sistema > pestaña Opciones Avanzadas, click en el botón Variables de entorno.
    En la primera ventana que nos sale veremos:
    Variables de entorno para (y el nombre del usuario que este logueado en la máquina)

    Keyboard Layout

    Está clave contiene todas las variables del teclado. Por defecto, contiene otras dos subcarpetas más, Preload y substites. Estas dos claves referencian punteros a los códigos de páginas del teclado seleccionado, es decir, la distribución regional que tenemos seleccionada para nuestro teclado. En realidad aquí pueden aparecer referenciados varios numeritos en el panel de la derecha dependiendo de los idiomas que tengamos seleccionados.

    Network
    Contiene la información de las unidades de red mapeadas, es decir, las unidades de red que vemos cuando abrimos Mi PC.

    Printers

    Información referente a las impresoras instaladas en la máquina.

    Software,
    Información de todo el software disponible para el perfil de usuario actualmente logueado en la máquina

    En este capítulo vamos a seguir viendo un poquito más a fondo la estructura del registro. En la entrega anterior vimos una descripción de la clave HKEY_CURRENT_USER; en esta parte vamos a describir otra que es muy importante en el registro y es la clave HKEY_LOCAL_MACHINE. Si abrimos el registro veremos cinco carpetas principales que cuelgan. Veamos su estructura.
    § HARDWARE
    § SAM
    § SECURITY
    § SOFTWARE
    § SYSTEM

    En la primera parte de esta serie de artículos que estoy escribiendo, ya vimos que todas eran guardadas en archivos hive diferentes, y nos introdujimos en la funcionalidad de cada una de ellas. En esta parte quiero hacer una descripción más detallada recordando algunos aspectos que me parecen importantes. Comencemos.

    La clave HKEY_LOCAL_MACHINE está íntegramente dedicada a guardar la configuración especifica del equipo, siendo ésta aplicada a cualquier usuario que inicie sesión en nuestra máquina. La primera que nos encontramos es la clave HARDWARE, así que pasemos a describirla.

    En esta clave, como ya habréis adivinado, se registra la información del hardware instalado en la máquina. Habitualmente el contenido de esta clave es volátil y se reconstruye en cada inicio de nuestra máquina. La información recopilada durante cada reinicio aparece en un subclave especifica de esta rama: la clave HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION. De ella cuelgan varias carpetas más que recogen la información del hardware de la máquina. Creo que la mejor forma de entender su función es abriéndola en el registro. En ella veremos información muy diversa respecto a todos los dispositivos, incluyendo tarjetas PCI, adaptadores de video, teclado, coprocesador, controladores SCSI, etc., etc.

    Hay una rama, dentro de esta clave, que es interesante comentar, y es la rama
    HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Cen tralProcessor\0

    En ella se despliega toda la información que se recoge en las propiedades de “Mi Pc” o en Panel de control > Sistema, pestaña General. Modificando, por ejemplo, el valor ProcessorNameString modificariamos la información del procesador instalado que aparece en esa pestaña.

    La siguiente subclave que vemos dentro de esta rama es la clave “DEVICEMAP”. En ella vemos información especifica de las localizaciones en el registro de los diferentes dispositivos hardware. Digamos que contiene una serie de punteros a diferentes zonas del registro.

    La siguiente subclave corresponde a RESOURCEMAP. Esta clave lo único que contiene es información especifica sobre los drivers y la asignación efectuada de IRQ’s, recursos DMA, etc.
    Las siguientes dos claves dentro de la rama HKEY_LOCAL_MACHINE, corresponden a SAM y a SECURITY,

    En la primera parte, ya vimos qué hacían estas dos claves: SAM corresponde System Account Manager o sea, el administrador de cuentas y de grupos de usuarios. Esta clave en realidad trabajaría en conjunto con el sistema de permisos de usuarios gestionado por la siguiente clave que aparece, es decir, la clave SECURITY.

    La información de ambas, en caso de aparecer en el registro, nos aparecerá en formato binario, por lo que no es para nada, recomendable gestionar esto directamente desde el registro, sino con las herramientas especificas de nuestro sistema operativo para la gestión de permisos y cuentas de usuarios.

    En una maquina unida a un dominio o a un grupo de trabajo toda la información relacionada con permisos y cuentas de usuarios está en estas dos claves.

    La siguiente clave dentro de la rama HKEY_LOCAL_MACHINE correspondería a la clave software. Como ya habréis adivinado en esta parte del registro se recopila toda la información del software instalado en nuestra máquina. La subclave Classes ya la hemos tratado en su momento puesto que refleja la misma información que la que se recoge en otra rama principal la clave HKEY_CLASSES_ROOT. Sólo nos hace falta abrir la clave “Classes” para darnos cuenta de este extremo.

    No obstante, dentro de esta parte del registro hay algunas referencias interesantes. Lo primero que vemos en ella son tres claves que suelen estar vacias.

    \SOFTWARE\PROGRAM GROUPS
    \SOFTWARE\WINDOWS 3.1 MIGRATION
    \SOFTWARE\SECURE

    En realidad, la tres tienen una nula utilidad en Windows XP, ya que sólo se proveen para compatibilidad con viejas aplicaciones de WinNT, ya desfasadas, por lo que es más que probable que si las abrimos las veamos vacias.

    La rama más interesante dentro de este apartado la tenemos en

    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

    Ya que en ella se encuentra toda la configuración por defecto de Windows. Por ejemplo, nada más abrirla, y sin movernos de ella veremos la variables definidas por defecto, al directorio \Archivos de programa, es decir, el directorio en el que se instalan todos nuestro programa y que viene definida en el valor ProgramFilesDir. En teoría, modificando esta clave y la variable de entorno apropiada sería posible redefinir la instalación de programas diciéndoles que se instalen en otra unidad diferente a la que está instalada Windows. La modificación es posible, pero tengo que comentar que causa problemas con otras funcionalidades del sistema operativo, como es el caso de Windows Update.

    Otro valor interesante dentro de esa misma rama es la clave

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    En ella y en su homóloga ubicada en HKEY_CURRENT_USER, aparecen definidos todos los programas y funcionalidades que se ejecutan al inicio del sistema operativo.

    Entre ellos el antivirus residente que tengamos instalado, o las funcionalidades de los firewall de terceros. Muchos virus y spywares también utilizan esta misma rama para ejecutar sus procesos. El contenido de la misma es posible visualizarlo desde la utilidad msconfig, utilidad que sólo es posible hacerla funcional desde Inicio/Ejecutar, y teclando esas misma palabrar, es decir, “msconfig”. En su pestaña “Inicio” veremos recogidos todos los procesos que se cargan en el arranque. En una instalación por defecto de Windows XP, esta rama aparece vacía.
    Otra de las ramas interesantes es

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system
    En ella también se recogen alguna de las políticas que se pueden aplicar con Gpedit, y también es muy popular entre el diverso malware, para modificar el comportamiento por defecto de nuestro sistema operativo, junto con su homóloga ubicada en HKEY_CURRENT_USER.
    Pasemos a una de las claves más importantes del registro la rama:

    HKEY_LOCAL_MACHINE\SYSTEM
    Esta clave está contenida en el archivo hive “system” que veiamos en la primera entrega. Guarda toda la configuración por defecto de nuestra máquina. Sin ella no es posible arrancar el equipo. En ella lo primero que vemos es una clave o varias llamadas currentcontrolset más una serie de tres dígitos. Estas claves no son ni más ni menos que copias de seguridad de otra clave “currentcontrolset” que es sin duda la más importante de esta zona del registro. Si la abrimos, veremos entre otras cosas, una clave llamada “control” que enumera todo lo necesario para arrancar el equipo, como el nombre del ordenador, la zona horaria, información de los dispositivos imprescindibles para el arranque, etc.
    La siguiente, siguiendo el orden marcado por el registro, corresponde a la subclave “ENUM”. Esta clave contiene información específica de los dispositivos hardware instalados en la máquina, por lo que su contenido variará de un sistema a otro. Está clave referencia todo el hardware que se carga durante el arranque de nuestro sistema operativo.
    La siguiente es la clave “HARDWARE” que referencia los perfiles de hardware instalados en nuestra máquina. En caso de que tengamos instalado más de un perfil aparecerán también referenciados aquí.
    Por ultimo tenemos la clave “SERVICE”. En ella aparecen todos los drivers, archivos de sistema y servicios, así como su configuración; también referencia el orden en el que se van cargando. En la subclave tag si no me equivoco.
    Pasamos a la clave HKEY_LOCAL_MACHINE\SYSTEM\Select. Si la abrimos su contenido también es muy explicativo ya que contiene los diferentes perfiles de arranque y la configuración de hardware a utilizar en cada uno de ellos mediante una serie de punteros.
    La siguiente es la clave “SETUP”, que es utilizada durante la configuración del sistema, y cuyos valores no suele ser útiles cambiarlos.
    Y la ultima que voy a referenciar en este apartado es la clave WPA, que contiene la información sobre activación de nuestro Windows XP.

    La última rama principal que voy a tratar en esta serie de artículos es la rama
    HKEY_CURRENT_CONFIG
    Esta rama contiene la misma información que otra que ya hemos visto, es decir, la rama
    KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardwar e Profiles
    que referencia los perfiles de hardware instalados en nuestra máquina, por lo que no tengo mucho más que comentar sobre ella, ya que únicamente es un puntero de esa rama.


    6. Cargando archivos hive manualmente

    Como ya hemos visto los archivos hive se cargan automáticamente durante el arranque, pero ¿qué pasa si queremos ver su contenido? Aunque todos los archivos hive, ubicados en el directorio \windows\system32\config, son cargados y su contenido puede ser visualizado desde el registro, o con las correspondientes opciones del sistema operativo, es posible que queramos ver un archivo hive, que no se haya cargado. Un ejemplo, es el archivo ntuser.dat, que contiene el perfil del usuario actualmente logueado. Este archivo se ubica en la carpeta que contiene el perfil del usuario es decir en \Documents and Settings\nombre_usuario. Es un archivo que suele estar oculto. Si el usuario esta logueado veremos las opciones que tiene predefinidas, pero sino esta logueado será imposible. Pues bien, para estas tareas podemos hacer una carga del archivo hive de forma manual.

    La carga de estos archivos solo es posible hacerla desde dos ramas la rama HKEY_USERS y la rama HKEY_LOCAL_MACHINE, de las que, como ya vimos, derivaban las demás. Si abrimos el registro (Inicio/Ejecutar y tecleamos regedit) veremos que en el menú "Archivo" se nos activa una opción, llamada “cargar subárbol” y seleccionamos el archivo hive que queremos cargar. Siguiendo con el ejemplo, y si queremos cargar el perfil de un usuario que no esté actualmente logueado, tendríamos que navegar hasta la carpeta del perfil del usuario que queramos recuperar, y seleccionar el archivo “ntuser.dat” apropiado, posteriormente deberemos seleccionar una clave en donde cargarlo. Yo, personalmente, para estas pruebas aconsejo crear una subraya en HKEY_USERS, que se llame “pruebas”, por ejemplo. Cuando finalice el proceso veremos que toda la estructura que tenemos en “HKEY_CURRENT_USERS” y que refleja las preferencias del usuario actualmente logueado, es reproducida en nuestra carpeta de pruebas, pero con las preferencias de usuario de alguien que en este caso no está logueado…. ¿Qué utilidad tiene todo esto? Pues muchas, porque podemos crear un script que nos cambie el salvapantallas por ejemplo de todos los usuarios existente en la máquina. Desde línea de comandos también se puede hacer este mismo procedimiento con nuestro querido comando “REG”. Además, yo lo veo hasta más sencillo por comandos, un ejemplo:

    reg load HKU\prueba "e:\documents and settings\fermu\ntuser.dat"
    (nos cargaría el perfil de un usuario no logueado en la clave HKEY_USERS\prueba)

    reg add "HKU\prueba\Control Panel\Desktop" /v Wallpaper /t REG_SZ
    /d "E:\Documents and Settings\fermu.MAQUINA.000\Configuración
    local\Datos de programa\Microsoft\Wallpaper1.bmp"

    (le cambiaríamos el fondo de escritorio a ese usuario en concreto,)

    reg unload HKU\prueba
    (finalmente descargaríamos el perfil de ese usuario del registro)
    Mediante la GUI, el equivalente de “reg unload” es “descargar subárbol” ubicado en el menú archivo.


    En entregas anteriores vimos lo que era un archivo hive, y trate de explicar de una forma clara y sencilla la compleja estructura del registro. En esta ultima entrega incidiré en los tipos de valores que se pueden agregar al registro y veremos los métodos de los que disponemos para hacer copias de seguridad de nuestro registro, y cómo restaurar las mismas. Con ello daré por finalizadas esta serie de publicaciones.
    7. Tipos de valores que se pueden agregar al registro

    Antes de ver todo esto, debemos recordar un poco las formas que tenemos de agregar valores al registro mediante la interfaz gráfica (Inicio/Ejecutar/regedit). Os recuerdo que esto se hace desde el menú Edición/Nuevo. Si nos situamos ahí veremos diferentes tipos de valores. Voy a desglosar los más importantes siguiendo el orden marcado por el registro.

    Valor Alfanumérico
    : Este tipo de valor se abrevia en la columna “tipo” que podemos observar si abrimos cualquier rama, en el panel de la derecha, como “REG_SZ”. Son valores de texto estándar, que pueden ser leidos sin problemas por cualquiera que abra el registro. Algunas claves como son el sistema de autentificación ante un dominio, manipulando para ello el registro, son almacenadas en este formato, por lo que ya sabeis los riesgos de inseguridad que esto representa.

    Valor Binario: Abreviadamente “REG_BINARY”. Representa datos binarios sin procesar, que son utilizados habitualmente por los dispositivos hardware.

    Valor de cadena expandible: abreviado “REG_EXPAND_SZ”. Son tipos de datos que contienen una variable que se resuelve cuando un programa o servicio consulta esa variable. En entregas precedentes ya hemos tratado este tema. Un ejemplo de ello sería la variable ProgramFiles, que resolvería la ruta exacta donde están instalados nuestros diferentes programas, por defecto, \Archivos de Programa\. Una de las formas que tenemos de consultar estas variables es con el comando set desde una línea de comandos, o bien, desde Mi Pc > Panel de Control > Sistema > Opciones avanzadas > Variables de entorno, las mimas también aparecen referenciadas en el registro repartidas entre algunas claves; una de ellas sería:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Environment

    Valor DWORD, abreviado “REG_DWORD”. Representa un numero de 4 bytes de longitud. Habitualmente es utilizado como valor booleano (aunque también puede aparecer con otras funciones), siendo su valor más común 1 ó 0, es decir, apagado – encendido, habilitado - deshabilitado, verdadero – falso. Comúnmente utilizado entre las políticas de grupo, y en control de servicios.

    Otro de los valores habitualmente representados en el registro es el valor de cadena expandible, abreviadamente, “REG_MULTI_SZ”. No es, ni más ni menos, que un valor que representa una lista que puede ser consultada y leída, al hacer doble click sobre una clave de este tipo.
    No me voy a enrollar más sobre este tema, puesto que tenéis mucha información al respecto en Internet y específicamente en este artículo de la KB.

    8. Manipulando el registro.,



    En la primera entrega ya vimos, aparte del método GUI, dos órdenes que son muy habituales para manejar el registro desde la línea de comandos: regedit, que recordemos podíamos iniciar con una serie de modificadores que todavía están disponibles en Windows XP, y el comando reg. Con este comando podemos hacer todas las operaciones que hacemos iniciando el registro con su interfaz gráfica, pero desde línea de comandos. La utilidad de gestionar el registro desde una consola son muchas, ya que bastantes operaciones son más rápidas de hacer desde una consola que desde una interfaz gráfica; aparte que desde una sesión de comandos es posible recuperar zonas del registro que limiten la funcionalidad de la interfaz gráfica o que inclusive nos impida iniciarla.

    En este apartado vamos a recordar otras herramientas disponibles para modificar el registro. Y nos vamos a introducir en otra serie de comandos que no vienen documentados en la Ayuda de Windows.

    Comando regsvr32
    El comando regsvr32 nos va a registrar correctamente servidores de componentes COM que son requeridos por múltiples aplicaciones para su correcto funcionamiento. Estos servidores de componentes COM suelen venir o bien con extensión exe, o bien con extensión .dll. Es habitual que este tipo de servidores se registren correctamente durante la instalación del programa que los requiere, pero también es habitual que durante un periodo de uso se pierda esa información por diferentes causas, o que el componente requiera actualizar su información manualmente.
    La forma más sencilla de ejecutar este comando es sin parámetros, es decir, de la forma
    Regsvr32 + nombredll
    Mediante esta sencilla forma de ejecutarlo, nos aseguramos que la información del servidor de componentes es agregada adecuadamente al registro. Si el comando finaliza apropiadamente, nos avisará con una ventanita en la que nos advierte de este extremo, pero es posible ejecutarlo en modo silencioso agregándole el parámetro /s es decir:
    Regsvr32 + nombredll /s
    De este modo no nos avisará de nada. La forma de eliminar la información en el registro es agregándole el parámetro /u es decir,
    Regsvr32 + nombredll /u
    La información que recopila esta herramienta es incluida en el registro en una clave que ya he explicado en entregas anteriores. Se agrega en la rama HKEY_CLASSES_ROOT\CLSID y en sus subclaves asociadas.
    La información de los diferentes servidores OLE/COM agregada al registro es posible verla de una forma más fácil, y es con la herramienta “mmc”. WinXP ya lleva un administrador de componentes COM que nos permite operar con este tipo de servidores desde el Panel de control > Herramientas administrativas > Administrador de componentes COM. Si deseamos saber qué componentes OLE hay registrados en el sistema lo podemos hacer desde el system information de Microsoft, ubicado en Herramientas > Accesorios, yendo a registro de software / registro de OLE. Otra herramienta también muy gráfica es el comando “oleview” que se puede obtener de las "Resources Kit" de Win2k3 de forma totalmente gratuita.

    Comandos Regini y regmdp
    La manipulación del registro mediante archivos *.reg es muy conocida, pero hay otra forma menos documentada, que es mediante archivos *.ini.
    La creación de un archivo *.reg es muy sencilla: simplemente vamos a Inicio/Ejecutar tecleamos “regedit” y seleccionamos la rama a exportar, quedándonos solo ir al menú archivo/exportar, con lo que nos quedará un archivo *.reg de esa rama especifica que cuya información podrá importarse cómodamente a otro PC con solo hacer doble clic sobre el mismo.
    La otra forma de manipular el registro es con Regini. Esta herramienta no es tan fácil de manejar como el comando “reg” o el comando “regedit” que ya hemos visto, pero con ella es posible desde hacer cambios menores en el sistema de permisos, hasta borrar determinadas claves. La sintaxis del comando varía sustancialmente de un archivo reg convencional, pero tenemos una herramienta llamada regdmp.exe, que nos ayudará a crear las salidas adecuadas. Lamentablemente la herramienta "regdmp.exe" no viene incluida en WinXP, y la única manera de obtenerla de forma oficial, es bajándose el resource kits de WinNT 4.0, y la forma oficiosa desde este enlace
    http://users.compaqnet.be/cn021945/RAMDisk/RAMDisk_Evaluation_530101.htm

    Esto nos descargará un archivo zip, en el que viene incluida esa utilidad. Sólo tenemos que descomprimir el comando “regdmp.exe” en la carpeta \windows\system32. Su sintaxis es muy sencilla: una vez instalado, sólo tenemos que teclear regdmp.exe más el nombre de la clave cuya sintaxis queramos consultar. Si queremos guardar la salida en algún sitio, la única manera es ésta:

    Regdmp Nombre_clave > archivo_salida.txt

    Un ejemplo: vamos a consultar una clave específica del registro mediante regdmp y la redireccionamos a un archivo que posteriormente modificaremos e introduciremos en el registro mediante Regini.
    E:\WINNT\system32\ENG> regdmp
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SNMP_EVENTS\ EventLog\Parameters" > dmp.txt


    El comando redireccionaría la salida del mismo a un archivo llamado “dmp.txt” en lugar de a la pantalla que es su salida natural; si instalamos el comando y tecleamos “regdmp /?” veremos las opciones disponibles.
    Posteriormente sólo tenemos que abrir el archivo txt generado con un editor de texto normal, y modificar los parámetros que queramos para incluirlos posteriormente con Regini,.
    Regini es también un comando muy cómodo para incluir en scripts para manipulación de registro.
    De todas formas, yo me sigo quedando con el comando “reg” que trae por defecto WinXP, para hacer cualquier modificación en el registro. En el capitulo siguiente veremos algunas funcionalidades de este comando no tan conocidas, que nos permitirán hacer copia de seguridad y restauración del registro, así como creación de archivos hive manuales mediante este comando.


    9. Haciendo copia de seguridad del registro.

    Los métodos convencionales

    El método convencional por GUI supongo que es conocido por todos: es mediante los diferentes métodos que nos ofrece la herramienta “regedit” en su menú Archivo > Exportar. Veamos cada método:
    Si abrimos la herramienta de exportación gráfica, veremos que en su menú desplegable nos ofrece varias posibilidades de volcado:
    Archivo REG. Esta forma de volcar la información del registro es, probablemente, la más conocida por todos. Con este métodos podemos volcar la información del registro, de una rama específica (simplemente seleccionando la rama cuya información queremos volcar a un archivo reg), o de todo el registro. El metodo para introducir los datos otra vez al registro también es muy sencillo, ya que está contemplada la posibilidad de hacer doble click sobre el archivo REG generado para estos menesteres, teniendo también la posibilidad de hacerlo desde el menú Archivo > Importar.
    Archivo de subárbol de registro. Esta opción quizá sea menos conocida, pero no por ello es menos importante. Con ella lo que conseguimos es volcar la información de una rama del registro a un archivo hive en formato binario. El proceso para restaurar un archivo hive es algo más complicado que en el caso de un archivo *.reg convencional: lo primero que tenemos que hacer es seleccionar en el panel de la izquierda la rama o árbol exacto en donde queremos restaurar los datos. Esto es importante porque si no los datos del archivo hive a volcar en el registro serán introducidos en un lugar incorrecto. Después tenemos que ir a Archivo > Importar, y seleccionar en el cuadro desplegable “tipo” la opción archivos de subárbol de registro, navegamos hasta donde tenemos el archivo guardado, y posteriormente le damos a abrir; un cuadro desplegable nos advertirá de que el contenido del archivo hive será añadido en la rama seleccionada, y de que todos los valores de la rama en cuestión serán eliminados y sustituidos por los de nuestro archivo hive.
    Archivo TXT. Este no es un procedimiento de copia de datos convencional, ya que únicamente hace una imagen en formato texto de cómo está el estado de la rama seleccionado en un momento dado, y que, aunque puede ser leído con un editor de texto convencional, la información proporcionada no puede ser introducida en el registro, mediante un doble click, como en el caso de los archivo *.reg.
    Archivo reg win9x/WinNT 4. Esta opción nos exporta los datos seleccionados al formato utilizado por estos sistemas operativos, es decir, utiliza “Regedit 4” en lugar de “Regedit 5” que es el que utiliza Windows XP.
    Otras posibilidades, la potencia de la línea de comandos

    En otras versiones de Windows teníamos otros comandos para guardar y restaurar copias de nuestro registro. Los comandos, la última vez que yo los he visto, ha sido en windows 2000 y corresponden a:
    regback.exe, regrest.exe
    Pues bien, los comandos regback.exe y regrest.exe que estaban disponibles en la Resource Kits de Windows 2000 han sido sustituidos por el comando “reg” que ha pasado a suplir sus funcionalidades. Así, mediante las opciones “reg save” podemos salvar el contenido del registro a un archivo hive y con “reg restore” podemos restaurar la información de ese archivo al registro. La sintaxis de estos comandos no es complicada, y está documentada en la Ayuda de Windows, por lo que os invito nuevamente a consultarla para conocer algo más sobre estos comandos. Recordaros también el comando “reg export” y “regedit /e” que veiamos en la primera entrega y con los cuales podíamos exportar a un archivo “reg” la configuración del registro.
    Ultima configuración buena conocida


    Mediante las diferentes opciones de inicio que se nos presentan si presionamos la tecla F8 de nuestro PC, antes de que salga el logo de Windows, se nos relaciona esta opción. Lo que en realidad hace esta opción es restaurar una de las copias de la rama HKLM\SYSTEM\CurrentControlSet y restaurar la configuración de hardware. Por lo que sólo nos será útil este sistema de recuperación del registro si nuestro problema está relacionado con algo de hardware.
    La herramienta restaurar sistema

    Una de las formas más fáciles de restaurar el registro a un estado anterior es sin duda, mediante la herramienta Restaurar Sistema. Por defecto, en WinXP, está activada, y crea puntos de restauración regulares, que hace copia de todos estos puntos:

    1. Copia del registro
    2. Perfiles de usuario locales
    3. Componentes COM+
    4. Base de datos WMI
    5. Metabase de IIS
    6. Archivos con extensiones determinadas del sistema que son monitorizadas

    Bueno, ahora que sabemos en qué archivos se contienen nuestros datos, sin duda una de las formas más fáciles de hacer una copia de seguridad del registro es guardando los archivos a un medio extraíble. Así, en caso de que alguno se corrompa, lo podremos recuperar con una información más actualizada que en el caso de tener que recuperarlos del CD de instalación. La ubicación de estos archivos ya la he mencionado y repetido en multiples ocasioines a lo largo de estos artículos. Únicamente señalar que la restauración de los archivos debe llevarse a cabo en los mismos directorios donde se encuentran por defecto y con los mismos nombres.

    Utilizando NTBACKUP, para hacer copia de los archivos de sistema.


    Pues bien, con esta herramienta también es posible hacer una copia de seguridad de nuestros datos del registro. Ntbackup no sólo es capaz de hacer eso; también, hace copia de seguridad de los archivos de arranque de Windows XP (boot.ini, ntldr, ntdetect.com) y de los componentes com+ registrados. Sin duda muy versátil. Para llevar esto acabo tenemos que salirnos del modo “wizard” o “asistente” eligiendo la opción modo avanzado, e ir a “Herramientas > ASR Wizard” (tengo el ntbackup en inglés). Esta opción nos saldrá un asistente para hacer esta copia.

    Automatizando la copia de seguridad: NTbackup por linea de comandos
    Ntbackup dispone también de una serie de modificadores que permiten ejecutarlo mediante una consola. Si deseamos verlos no tenemos más que ir a Inicio /Ejecutar y teclear “ntbackup /?” con lo cual nos saldrá una ventana de ayuda con todas estas opciones. Os invito a consultarlas.
    Específicamente la opción que nos interesa es el modificador “systemstate”. Mediante este modificador es posible hacer una copia de seguridad de los archivos más importantes de nuestro sistema operativo.
    En nuestra sección de descargas os dejo un script para automatizar esta tarea. El script es autoría de Andrew S. Baker. Al ejecutarlo, se hará una copia de los archivos de sistema, incluyendo el registro, los archivos de arranque y los componentes DCOM. Para ejecutarlo es necesario tener Windows 2000 o superior. El script crea una tarea programada que se ejecuta diariamente a la 1:15 horas pero que podemos modificar variando el parametro JOBTIME
    En fin, con esta ultima entrega termino mi serie de artículos. Espero que hayáis disfrutado leyéndola tanto como yo escribiéndola.




    información extraída de www.fermu.com
    "La información es poder "
    Citar  
     

  2. #2  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    Buen aporte 54yk3r
    Citar  
     

Temas similares

  1. Claves ocultas en el registro windows
    Por Esperpentor en el foro VULNERABILIDADES
    Respuestas: 1
    Último mensaje: 08-05-2009, 03:39
  2. Registro de Windows
    Por Llew en el foro GENERAL
    Respuestas: 2
    Último mensaje: 16-01-2003, 13:13
  3. Comprobador del Registro de Windows
    Por adav en el foro HARDWARE
    Respuestas: 7
    Último mensaje: 10-12-2002, 04:02
  4. Sobre el Registro de Windows
    Por |RooT| en el foro GENERAL
    Respuestas: 9
    Último mensaje: 06-10-2002, 16:02
  5. comprobador del registro de windows
    Por SeRiAlBoT en el foro HARDWARE
    Respuestas: 8
    Último mensaje: 27-04-2002, 23:07

Marcadores

Marcadores