[Artículo] Entendiendo el registro de windows (Parte III y final???)

Hash: SHA1

En este capitulo vamos a seguir viendo un poquito más a fondo la
estructura del registro, en la entrega anterior vimos una descripción de
la clave HKEY_CURRENT_USER en esta parte vamos a describir otra que es
muy importante en el registro y es la clave HKEY_LOCAL_MACHINE, si
abrimos el registro veremos cinco carpetas principales que cuelgan,
veamos su estructura.

HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM
En la primera parte de esta serie de articulos que estoy escribiendo, ya
vimos que todas eran guardadas en archivos hive, diferentes, y nos
introducimos en la funcionalidad de cada una de ellas, en esta parte
quiero hacer una descripción más detallada recordando algunos aspectos
que me parecen importantes, comencemos.

La Clave HKEY_LOCAL_MACHINE, está íntegramente dedicada a guardar la
configuración especifica del equipo, siendo esta aplicada a cualquier
usuario que inicie sesión en nuestra máquina, la primera que nos
encontramos es la clave HARDWARE, así que pasemos a describirla.

En esta clave como ya habréis adivinado, se registra la información del
hardware instalado en la máquina, habitualmente, el contenido de esta
clave es volátil, y se reconstruye en cada inicio de nuestra máquina, la
información recopilada durante cada reinicio aparece en un subclave
especifica de esta rama, la clave
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION de ella cuelgan varias carpetas
más que recogen la información del hardware de la máquina. Creo que la
mejor forma de entender su función es abriéndola en el registro, en ella
veremos información muy diversa respecto a todos los dispositivos,
incluyendo, tarjetas PCI, adaptadores de vides, teclado, coprocesador,
controladores SCSI, etc, etc,

Hay una rama, dentro de esta clave, que es interesante comentar, y es la
rama

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

En ella se despliega toda la información que se recoge, en las
propiedades de ?Mi Pc? o en Panel de control > sistema, pestaña general,
modificando por ejemplo el valor ProcessorNameString, modificariamos la
información del procesador instalado que aparece en esa pestaña.

La siguiente subclave que vemos dentro de esta rama es la clave
"DEVICEMAP" en ella vemos información especifica de las localizaciones
en el registro de los diferentes dispositivos hardware, digamos que
contiene una serie de punteros a diferentes zonas del registro.

La siguiente subclave corresponde corresponde a RESOURCEMAP, esta clave
lo unico que contiene son información especifica sobre los drivers y la
asignación efectuada de IRQ?s, recursos DMA, etc,.

Las siguientes dos claves dentro de la rama HKEY_LOCAL_MACHINE,
corresponde a SAM y a SECURITY,

En la primera parte, ya vimos que hacian estas dos claves, SAM
corresponde System Account Manager o sea, el administrador de cuentas y
de grupos de usuarios, esta clave en realidad trabajaría en conjunto con
el sistema de permisos de usuarios gestionado por la siguiente clave que
aparece, es decir, la clave SECURITY,

La información de ambas, en caso de aparecer en el registro, nos
aparecerá en formato binario, por lo que no es para nada, recomendable
gestionar esto directamente desde el registro, sino con las herramientas
especificas de nuestro sistema operativo para la gestión de permisos y
cuentas de usuarios,

En una maquina unida a un dominio o a un grupo de trabajo toda la
información relacionada, con permisos y cuentas de usuarios aparece
también en estas dos claves.

La siguiente clave dentro de la rama HKEY_LOCAL_MACHINE, correspondería
a la clave "software", como ya habréis adivinado en esta parte del
registro, se recopila toda la información del software instalado en
nuestra máquina, la subclave "Classes" ya la hemos tratado en su momento
puesto que refleja la misma información que la que se recoge en otra
rama principal la clave HKEY_CLASSES_ROOT, solo nos hace falta abrir la
clave "Classes" para darnos cuenta de este extremo.

No obstante dentro de esta parte del registro hay algunas referencias
interesantes, lo primero que vemos en ella son tres claves que suelen
estar vacias,

\SOFTWARE\PROGRAM GROUPS
\SOFTWARE\WINDOWS 3.1 MIGRATION
\SOFTWARE\SECURE

En realidad, la tres tienen una nula utilidad en windows xp, ya que solo
se proveen para compatibilidad con viejas aplicaciones de WinNT, ya
desfasadas, por lo que es más que probable que si las abrimos las veamos
vacias,

La rama más interesante dentro de este apartado la tenemos en
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

Ya que en ella se encuentra toda la configuración por defecto de
windows, por ejemplo nada más abrirla, y sin movernos de ella veremos la
variables definidas por defecto, al directorio \archivos de programa, es
decir, el directorio en el que se instalan todos nuestro programa y que
viene definida en el valor "ProgramFilesDir", en teoría modificando esta
clave y la variable de entorno apropiada, sería posible redefinir la
instalación de programas diciéndoles que se instalen en otra unidad
diferente a la que está instalada windows. La modificación es posible,
pero tengo que comentar que causa problemas con otras funcionalidades
del sistema operativo, como es el caso de Windows Update.

Otro valor interesante dentro de esa misma rama es la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En ella y en su homologa ubicada en HKEY_CURRENT_USER, aparecen
definidos todos los programas y funcionalidades que se ejecutan al
inicio del sistema operativo
Entre ellos el Antivirus residente que tengamos instalado, o las
funcionalidades de los firewall de terceros, muchos virus y spywares
también utilizan esta misma rama para ejecutar sus procesos. El
contenido de la misma es posible visualizarlo, desde la utilidad
"msconfig", utilidad que solo es posible hacerla funcional, desde
inicio/ejecutar, y teclando esas misma palabrar, es decir, "msconfig".
En su pestaña ?inicio? veremos recogidos todos los procesos que se
cargan en el arranque. En una instalación por defecto de Windows XP,
esta rama aparece vacia.

Otra de las ramas interesantes es,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

En ella también se recogen alguna de las politicas que se pueden aplicar
con Gpedit, y también es muy popular entre el diverso malware, para
modificar el comportamiento por defecto de nuestro sistema operativo,
junto con su homologa ubicada en HKEY_CURRENT_USER

Pasemos a una de las claves más importantes del registro la rama

HKEY_LOCAL_MACHINE\SYSTEM

Esta clave contenida en el archivo hive "system" que veiamos en la
primera entrega guarda toda la configuración por defecto de nuestra
máquina, sin ella no es posible arrancar el equipo, en ella lo primero
que vemos es un clave o varias llamadas "currentcontrolset" más una
serie de tres digitos, estas claves no son ni más ni menos que copias de
seguridad, de otra clave "currentcontrolset" que es sin duda la más
importante de esta zona del registro, si la abrimos, veremos entre otras
cosas,

Una clave llamada "control" que enumera, todo lo necesario para arrancar
el equipo, como el nombre del ordenador, la zona horaria, información de
los dispositivos imprescindibles para el arranque, etc.

La siguiente, siguiendo el orden marcado por el registro corresponde a,
la subclave "ENUM", esta clave contiene información especifica de los
dispositivos hardware instalados en la máquina, por lo que su contenido
variará de un sistema a otro, está clave referencia todo el hardware que
se carga durante el arranque de nuestro sistema operativo.

La siguiente, es la clave "HARDWARE" que referencia los perfiles de
hardware instalados en nuestra máquina, en caso de que tengamos
instalado más de un perfil aparecerán también referenciados aquí

Por ultimo tenemos la clave "SERVICE", en ella aparecen todos los
drivers, archivos de sistema y servicios, así como su configuración,
también referencia el orden en el que se van cargando, en la subclave
"tag" sino me equivoco.

Pasamos a la clave HKEY_LOCAL_MACHINE\SYSTEM\Select, si la abrimos su
contenido también es muy explicativo ya que contiene, los diferentes
perfiles de arranque y la configuración de hardware a utilizar en cada
uno de ellos mediante una serie de punteros.

La siguiente es la clave "SETUP", que es utilizada durante la
configuración del sistema, y cuyos valores no suele ser util cambiarlos,
y la ultima que voy a referenciar en este apartado es la clave WPA, que
contiene la información sobre activación de nuestro windows xp.


La última rama principal que voy a tratar en esta serie de artículo es
la rama,

HKEY_CURRENT_CONFIG,

Esta rama contiene la misma información que otra que ya hemos visto, es
decir, la rama

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles

Que referencia los perfiles de hardware instalados en nuestra máquina,
por lo que no tengo mucho más que comentar sobre ella, ya que únicamente
es un puntero de esa rama.


Cargando archivos hive manualmente,

Como ya hemos visto los archivos hive se cargan automáticamente durante
el arranque, ¿pero que pasa si queremos ver su contenido?, aunque todos
los archivos hive, ubicados en el directorio \windows\system32\config,
son cargados y su contenido puede ser visualizado desde el registro, o
con las correspondientes opciones del sistema operativo, es posible que
queramos ver un archivo hive, que no se haya cargado. Un ejemplo, es el
archivo ntuser.dat, que contiene el perfil del usuario actualmente
logueado, este archivo se ubica en la carpeta que contiene el perfil del
usuario es decir en \documents and settingombre_usuario, es un archivo
que suele estar oculto, si el usuario esta logueado veremos las opciones
que tiene predefinidas, pero sino esta logueado será imposible, pues
bien, para estas tareas, podemos hacer una carga del archivo hive de
forma manual.

La carga de estos archivos solo es posible hacerla desde dos ramas la
rama HKEY_USERS y la rama HKEY_LOCAL_MACHINE, de las que, como ya vimos,
derivaban las demás, si abrimos el registro (inicio/ejecutar y tecleamos
regedit) veremos que en el menú archivo, se nos activa una opción,
llamada "cargar subárbol", seleccionamos el archivo hive que queremos
cargar, siguiendo con el ejemplo, y si queremos cargar el perfil de un
usuario que no esté actualmente logueado, tendríamos que navegar hasta
la carpeta del perfil del usuario que queramos recuperar, y seleccionar
el archivo "ntuser.dat" apropiado, posteriormente deberemos seleccionar
una clave en donde cargarlo, yo personalmente, para estas pruebas
aconsejo crear una subrama en HKEY_USERS, que se llame "pruebas", por
ejemplo. Cuando finalice el proceso veremos que toda la estructura que
tenemos en ?HKEY_CURRENT_USERS? y que refleja las preferencias del
usuario actualmente logueado, es reproducida en nuestra carpeta de
pruebas, pero con las preferencias de usuario de alguien que en este
caso no está logueado?. Que utilidad tiene todo esto? Pues muchas, por
que podemos crear un script, que nos cambie el salvapantallas por
ejemplo de todos los usuarios existentes en la máquina. Desde línea de
comandos también se puede hacer este mismo procedimiento con nuestro
querido comando "REG", además, que yo lo veo hasta más sencillo por
comandos, un ejemplo

reg load HKU\prueba "e:\documents and settings\fermutuser.dat"

(nos cargaría el perfil de un usuario no logueado en la clave
HKEY_USERS\prueba)

reg add "HKU\prueba\Control Panel\Desktop" /v Wallpaper /t REG_SZ
/d "E:\Documents and Settings\fermu.MAQUINA.000\Configuración
local\Datos de programa\Microsoft\Wallpaper1.bmp"

(Le cambiaríamos el fondo de escritorio a ese usuario en concreto,)

reg unload HKU\prueba

(Finalmente descargaríamos el perfil de ese usuario del registro)

Mediante la GUI, el equivalente de "reg unload" es "descargar subárbol"
ubicado en el menú archivo.


Bueno, hasta aquí la tercera entrega, que se me ha ido un poquito en
extensión, con esto casí he finalizado todo lo que quería comentar,
aunque se puede profundizar en muchas más cosas... Así que someto a
votación popular la publicación de una cuarta entrega, en la que
veríamos, métodos y script para hacer copias de seguridad del registro,
profundizaríamos en los tipos de datos que se pueden agregar, y veríamos
como manipular el registro desde la GUI y desde comandos?.

Saludos
Fernando M. / Registered Linux User #367696

Hash: SHA1

En este capitulo vamos a seguir viendo un poquito más a fondo la
estructura del registro, en la entrega anterior vimos una descripción de
la clave HKEY_CURRENT_USER en esta parte vamos a describir otra que es
muy importante en el registro y es la clave HKEY_LOCAL_MACHINE, si
abrimos el registro veremos cinco carpetas principales que cuelgan,
veamos su estructura.

HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM
En la primera parte de esta serie de articulos que estoy escribiendo, ya
vimos que todas eran guardadas en archivos hive, diferentes, y nos
introducimos en la funcionalidad de cada una de ellas, en esta parte
quiero hacer una descripción más detallada recordando algunos aspectos
que me parecen importantes, comencemos.

La Clave HKEY_LOCAL_MACHINE, está íntegramente dedicada a guardar la
configuración especifica del equipo, siendo esta aplicada a cualquier
usuario que inicie sesión en nuestra máquina, la primera que nos
encontramos es la clave HARDWARE, así que pasemos a describirla.

En esta clave como ya habréis adivinado, se registra la información del
hardware instalado en la máquina, habitualmente, el contenido de esta
clave es volátil, y se reconstruye en cada inicio de nuestra máquina, la
información recopilada durante cada reinicio aparece en un subclave
especifica de esta rama, la clave
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION de ella cuelgan varias carpetas
más que recogen la información del hardware de la máquina. Creo que la
mejor forma de entender su función es abriéndola en el registro, en ella
veremos información muy diversa respecto a todos los dispositivos,
incluyendo, tarjetas PCI, adaptadores de vides, teclado, coprocesador,
controladores SCSI, etc, etc,

Hay una rama, dentro de esta clave, que es interesante comentar, y es la
rama

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

En ella se despliega toda la información que se recoge, en las
propiedades de ?Mi Pc? o en Panel de control > sistema, pestaña general,
modificando por ejemplo el valor ProcessorNameString, modificariamos la
información del procesador instalado que aparece en esa pestaña.

La siguiente subclave que vemos dentro de esta rama es la clave
"DEVICEMAP" en ella vemos información especifica de las localizaciones
en el registro de los diferentes dispositivos hardware, digamos que
contiene una serie de punteros a diferentes zonas del registro.

La siguiente subclave corresponde corresponde a RESOURCEMAP, esta clave
lo unico que contiene son información especifica sobre los drivers y la
asignación efectuada de IRQ?s, recursos DMA, etc,.

Las siguientes dos claves dentro de la rama HKEY_LOCAL_MACHINE,
corresponde a SAM y a SECURITY,

En la primera parte, ya vimos que hacian estas dos claves, SAM
corresponde System Account Manager o sea, el administrador de cuentas y
de grupos de usuarios, esta clave en realidad trabajaría en conjunto con
el sistema de permisos de usuarios gestionado por la siguiente clave que
aparece, es decir, la clave SECURITY,

La información de ambas, en caso de aparecer en el registro, nos
aparecerá en formato binario, por lo que no es para nada, recomendable
gestionar esto directamente desde el registro, sino con las herramientas
especificas de nuestro sistema operativo para la gestión de permisos y
cuentas de usuarios,

En una maquina unida a un dominio o a un grupo de trabajo toda la
información relacionada, con permisos y cuentas de usuarios aparece
también en estas dos claves.

La siguiente clave dentro de la rama HKEY_LOCAL_MACHINE, correspondería
a la clave "software", como ya habréis adivinado en esta parte del
registro, se recopila toda la información del software instalado en
nuestra máquina, la subclave "Classes" ya la hemos tratado en su momento
puesto que refleja la misma información que la que se recoge en otra
rama principal la clave HKEY_CLASSES_ROOT, solo nos hace falta abrir la
clave "Classes" para darnos cuenta de este extremo.

No obstante dentro de esta parte del registro hay algunas referencias
interesantes, lo primero que vemos en ella son tres claves que suelen
estar vacias,

\SOFTWARE\PROGRAM GROUPS
\SOFTWARE\WINDOWS 3.1 MIGRATION
\SOFTWARE\SECURE

En realidad, la tres tienen una nula utilidad en windows xp, ya que solo
se proveen para compatibilidad con viejas aplicaciones de WinNT, ya
desfasadas, por lo que es más que probable que si las abrimos las veamos
vacias,

La rama más interesante dentro de este apartado la tenemos en
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

Ya que en ella se encuentra toda la configuración por defecto de
windows, por ejemplo nada más abrirla, y sin movernos de ella veremos la
variables definidas por defecto, al directorio \archivos de programa, es
decir, el directorio en el que se instalan todos nuestro programa y que
viene definida en el valor "ProgramFilesDir", en teoría modificando esta
clave y la variable de entorno apropiada, sería posible redefinir la
instalación de programas diciéndoles que se instalen en otra unidad
diferente a la que está instalada windows. La modificación es posible,
pero tengo que comentar que causa problemas con otras funcionalidades
del sistema operativo, como es el caso de Windows Update.

Otro valor interesante dentro de esa misma rama es la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En ella y en su homologa ubicada en HKEY_CURRENT_USER, aparecen
definidos todos los programas y funcionalidades que se ejecutan al
inicio del sistema operativo
Entre ellos el Antivirus residente que tengamos instalado, o las
funcionalidades de los firewall de terceros, muchos virus y spywares
también utilizan esta misma rama para ejecutar sus procesos. El
contenido de la misma es posible visualizarlo, desde la utilidad
"msconfig", utilidad que solo es posible hacerla funcional, desde
inicio/ejecutar, y teclando esas misma palabrar, es decir, "msconfig".
En su pestaña ?inicio? veremos recogidos todos los procesos que se
cargan en el arranque. En una instalación por defecto de Windows XP,
esta rama aparece vacia.

Otra de las ramas interesantes es,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

En ella también se recogen alguna de las politicas que se pueden aplicar
con Gpedit, y también es muy popular entre el diverso malware, para
modificar el comportamiento por defecto de nuestro sistema operativo,
junto con su homologa ubicada en HKEY_CURRENT_USER

Pasemos a una de las claves más importantes del registro la rama

HKEY_LOCAL_MACHINE\SYSTEM

Esta clave contenida en el archivo hive "system" que veiamos en la
primera entrega guarda toda la configuración por defecto de nuestra
máquina, sin ella no es posible arrancar el equipo, en ella lo primero
que vemos es un clave o varias llamadas "currentcontrolset" más una
serie de tres digitos, estas claves no son ni más ni menos que copias de
seguridad, de otra clave "currentcontrolset" que es sin duda la más
importante de esta zona del registro, si la abrimos, veremos entre otras
cosas,

Una clave llamada "control" que enumera, todo lo necesario para arrancar
el equipo, como el nombre del ordenador, la zona horaria, información de
los dispositivos imprescindibles para el arranque, etc.

La siguiente, siguiendo el orden marcado por el registro corresponde a,
la subclave "ENUM", esta clave contiene información especifica de los
dispositivos hardware instalados en la máquina, por lo que su contenido
variará de un sistema a otro, está clave referencia todo el hardware que
se carga durante el arranque de nuestro sistema operativo.

La siguiente, es la clave "HARDWARE" que referencia los perfiles de
hardware instalados en nuestra máquina, en caso de que tengamos
instalado más de un perfil aparecerán también referenciados aquí

Por ultimo tenemos la clave "SERVICE", en ella aparecen todos los
drivers, archivos de sistema y servicios, así como su configuración,
también referencia el orden en el que se van cargando, en la subclave
"tag" sino me equivoco.

Pasamos a la clave HKEY_LOCAL_MACHINE\SYSTEM\Select, si la abrimos su
contenido también es muy explicativo ya que contiene, los diferentes
perfiles de arranque y la configuración de hardware a utilizar en cada
uno de ellos mediante una serie de punteros.

La siguiente es la clave "SETUP", que es utilizada durante la
configuración del sistema, y cuyos valores no suele ser util cambiarlos,
y la ultima que voy a referenciar en este apartado es la clave WPA, que
contiene la información sobre activación de nuestro windows xp.


La última rama principal que voy a tratar en esta serie de artículo es
la rama,

HKEY_CURRENT_CONFIG,

Esta rama contiene la misma información que otra que ya hemos visto, es
decir, la rama

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles

Que referencia los perfiles de hardware instalados en nuestra máquina,
por lo que no tengo mucho más que comentar sobre ella, ya que únicamente
es un puntero de esa rama.


Cargando archivos hive manualmente,

Como ya hemos visto los archivos hive se cargan automáticamente durante
el arranque, ¿pero que pasa si queremos ver su contenido?, aunque todos
los archivos hive, ubicados en el directorio \windows\system32\config,
son cargados y su contenido puede ser visualizado desde el registro, o
con las correspondientes opciones del sistema operativo, es posible que
queramos ver un archivo hive, que no se haya cargado. Un ejemplo, es el
archivo ntuser.dat, que contiene el perfil del usuario actualmente
logueado, este archivo se ubica en la carpeta que contiene el perfil del
usuario es decir en \documents and settingombre_usuario, es un archivo
que suele estar oculto, si el usuario esta logueado veremos las opciones
que tiene predefinidas, pero sino esta logueado será imposible, pues
bien, para estas tareas, podemos hacer una carga del archivo hive de
forma manual.

La carga de estos archivos solo es posible hacerla desde dos ramas la
rama HKEY_USERS y la rama HKEY_LOCAL_MACHINE, de las que, como ya vimos,
derivaban las demás, si abrimos el registro (inicio/ejecutar y tecleamos
regedit) veremos que en el menú archivo, se nos activa una opción,
llamada "cargar subárbol", seleccionamos el archivo hive que queremos
cargar, siguiendo con el ejemplo, y si queremos cargar el perfil de un
usuario que no esté actualmente logueado, tendríamos que navegar hasta
la carpeta del perfil del usuario que queramos recuperar, y seleccionar
el archivo "ntuser.dat" apropiado, posteriormente deberemos seleccionar
una clave en donde cargarlo, yo personalmente, para estas pruebas
aconsejo crear una subrama en HKEY_USERS, que se llame "pruebas", por
ejemplo. Cuando finalice el proceso veremos que toda la estructura que
tenemos en ?HKEY_CURRENT_USERS? y que refleja las preferencias del
usuario actualmente logueado, es reproducida en nuestra carpeta de
pruebas, pero con las preferencias de usuario de alguien que en este
caso no está logueado?. Que utilidad tiene todo esto? Pues muchas, por
que podemos crear un script, que nos cambie el salvapantallas por
ejemplo de todos los usuarios existentes en la máquina. Desde línea de
comandos también se puede hacer este mismo procedimiento con nuestro
querido comando "REG", además, que yo lo veo hasta más sencillo por
comandos, un ejemplo

reg load HKU\prueba "e:\documents and settings\fermutuser.dat"

(nos cargaría el perfil de un usuario no logueado en la clave
HKEY_USERS\prueba)

reg add "HKU\prueba\Control Panel\Desktop" /v Wallpaper /t REG_SZ
/d "E:\Documents and Settings\fermu.MAQUINA.000\Configuración
local\Datos de programa\Microsoft\Wallpaper1.bmp"

(Le cambiaríamos el fondo de escritorio a ese usuario en concreto,)

reg unload HKU\prueba

(Finalmente descargaríamos el perfil de ese usuario del registro)

Mediante la GUI, el equivalente de "reg unload" es "descargar subárbol"
ubicado en el menú archivo.


Bueno, hasta aquí la tercera entrega, que se me ha ido un poquito en
extensión, con esto casí he finalizado todo lo que quería comentar,
aunque se puede profundizar en muchas más cosas... Así que someto a
votación popular la publicación de una cuarta entrega, en la que
veríamos, métodos y script para hacer copias de seguridad del registro,
profundizaríamos en los tipos de datos que se pueden agregar, y veríamos
como manipular el registro desde la GUI y desde comandos?.

Saludos
Fernando M. / Registered Linux User #367696

Hash: SHA1

En este capitulo vamos a seguir viendo un poquito más a fondo la
estructura del registro, en la entrega anterior vimos una descripción de
la clave HKEY_CURRENT_USER en esta parte vamos a describir otra que es
muy importante en el registro y es la clave HKEY_LOCAL_MACHINE, si
abrimos el registro veremos cinco carpetas principales que cuelgan,
veamos su estructura.

HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM
En la primera parte de esta serie de articulos que estoy escribiendo, ya
vimos que todas eran guardadas en archivos hive, diferentes, y nos
introducimos en la funcionalidad de cada una de ellas, en esta parte
quiero hacer una descripción más detallada recordando algunos aspectos
que me parecen importantes, comencemos.

La Clave HKEY_LOCAL_MACHINE, está íntegramente dedicada a guardar la
configuración especifica del equipo, siendo esta aplicada a cualquier
usuario que inicie sesión en nuestra máquina, la primera que nos
encontramos es la clave HARDWARE, así que pasemos a describirla.

En esta clave como ya habréis adivinado, se registra la información del
hardware instalado en la máquina, habitualmente, el contenido de esta
clave es volátil, y se reconstruye en cada inicio de nuestra máquina, la
información recopilada durante cada reinicio aparece en un subclave
especifica de esta rama, la clave
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION de ella cuelgan varias carpetas
más que recogen la información del hardware de la máquina. Creo que la
mejor forma de entender su función es abriéndola en el registro, en ella
veremos información muy diversa respecto a todos los dispositivos,
incluyendo, tarjetas PCI, adaptadores de vides, teclado, coprocesador,
controladores SCSI, etc, etc,

Hay una rama, dentro de esta clave, que es interesante comentar, y es la
rama

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

En ella se despliega toda la información que se recoge, en las
propiedades de ?Mi Pc? o en Panel de control > sistema, pestaña general,
modificando por ejemplo el valor ProcessorNameString, modificariamos la
información del procesador instalado que aparece en esa pestaña.

La siguiente subclave que vemos dentro de esta rama es la clave
"DEVICEMAP" en ella vemos información especifica de las localizaciones
en el registro de los diferentes dispositivos hardware, digamos que
contiene una serie de punteros a diferentes zonas del registro.

La siguiente subclave corresponde corresponde a RESOURCEMAP, esta clave
lo unico que contiene son información especifica sobre los drivers y la
asignación efectuada de IRQ?s, recursos DMA, etc,.

Las siguientes dos claves dentro de la rama HKEY_LOCAL_MACHINE,
corresponde a SAM y a SECURITY,

En la primera parte, ya vimos que hacian estas dos claves, SAM
corresponde System Account Manager o sea, el administrador de cuentas y
de grupos de usuarios, esta clave en realidad trabajaría en conjunto con
el sistema de permisos de usuarios gestionado por la siguiente clave que
aparece, es decir, la clave SECURITY,

La información de ambas, en caso de aparecer en el registro, nos
aparecerá en formato binario, por lo que no es para nada, recomendable
gestionar esto directamente desde el registro, sino con las herramientas
especificas de nuestro sistema operativo para la gestión de permisos y
cuentas de usuarios,

En una maquina unida a un dominio o a un grupo de trabajo toda la
información relacionada, con permisos y cuentas de usuarios aparece
también en estas dos claves.

La siguiente clave dentro de la rama HKEY_LOCAL_MACHINE, correspondería
a la clave "software", como ya habréis adivinado en esta parte del
registro, se recopila toda la información del software instalado en
nuestra máquina, la subclave "Classes" ya la hemos tratado en su momento
puesto que refleja la misma información que la que se recoge en otra
rama principal la clave HKEY_CLASSES_ROOT, solo nos hace falta abrir la
clave "Classes" para darnos cuenta de este extremo.

No obstante dentro de esta parte del registro hay algunas referencias
interesantes, lo primero que vemos en ella son tres claves que suelen
estar vacias,

\SOFTWARE\PROGRAM GROUPS
\SOFTWARE\WINDOWS 3.1 MIGRATION
\SOFTWARE\SECURE

En realidad, la tres tienen una nula utilidad en windows xp, ya que solo
se proveen para compatibilidad con viejas aplicaciones de WinNT, ya
desfasadas, por lo que es más que probable que si las abrimos las veamos
vacias,

La rama más interesante dentro de este apartado la tenemos en
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

Ya que en ella se encuentra toda la configuración por defecto de
windows, por ejemplo nada más abrirla, y sin movernos de ella veremos la
variables definidas por defecto, al directorio \archivos de programa, es
decir, el directorio en el que se instalan todos nuestro programa y que
viene definida en el valor "ProgramFilesDir", en teoría modificando esta
clave y la variable de entorno apropiada, sería posible redefinir la
instalación de programas diciéndoles que se instalen en otra unidad
diferente a la que está instalada windows. La modificación es posible,
pero tengo que comentar que causa problemas con otras funcionalidades
del sistema operativo, como es el caso de Windows Update.

Otro valor interesante dentro de esa misma rama es la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En ella y en su homologa ubicada en HKEY_CURRENT_USER, aparecen
definidos todos los programas y funcionalidades que se ejecutan al
inicio del sistema operativo
Entre ellos el Antivirus residente que tengamos instalado, o las
funcionalidades de los firewall de terceros, muchos virus y spywares
también utilizan esta misma rama para ejecutar sus procesos. El
contenido de la misma es posible visualizarlo, desde la utilidad
"msconfig", utilidad que solo es posible hacerla funcional, desde
inicio/ejecutar, y teclando esas misma palabrar, es decir, "msconfig".
En su pestaña ?inicio? veremos recogidos todos los procesos que se
cargan en el arranque. En una instalación por defecto de Windows XP,
esta rama aparece vacia.

Otra de las ramas interesantes es,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

En ella también se recogen alguna de las politicas que se pueden aplicar
con Gpedit, y también es muy popular entre el diverso malware, para
modificar el comportamiento por defecto de nuestro sistema operativo,
junto con su homologa ubicada en HKEY_CURRENT_USER

Pasemos a una de las claves más importantes del registro la rama

HKEY_LOCAL_MACHINE\SYSTEM

Esta clave contenida en el archivo hive "system" que veiamos en la
primera entrega guarda toda la configuración por defecto de nuestra
máquina, sin ella no es posible arrancar el equipo, en ella lo primero
que vemos es un clave o varias llamadas "currentcontrolset" más una
serie de tres digitos, estas claves no son ni más ni menos que copias de
seguridad, de otra clave "currentcontrolset" que es sin duda la más
importante de esta zona del registro, si la abrimos, veremos entre otras
cosas,

Una clave llamada "control" que enumera, todo lo necesario para arrancar
el equipo, como el nombre del ordenador, la zona horaria, información de
los dispositivos imprescindibles para el arranque, etc.

La siguiente, siguiendo el orden marcado por el registro corresponde a,
la subclave "ENUM", esta clave contiene información especifica de los
dispositivos hardware instalados en la máquina, por lo que su contenido
variará de un sistema a otro, está clave referencia todo el hardware que
se carga durante el arranque de nuestro sistema operativo.

La siguiente, es la clave "HARDWARE" que referencia los perfiles de
hardware instalados en nuestra máquina, en caso de que tengamos
instalado más de un perfil aparecerán también referenciados aquí

Por ultimo tenemos la clave "SERVICE", en ella aparecen todos los
drivers, archivos de sistema y servicios, así como su configuración,
también referencia el orden en el que se van cargando, en la subclave
"tag" sino me equivoco.

Pasamos a la clave HKEY_LOCAL_MACHINE\SYSTEM\Select, si la abrimos su
contenido también es muy explicativo ya que contiene, los diferentes
perfiles de arranque y la configuración de hardware a utilizar en cada
uno de ellos mediante una serie de punteros.

La siguiente es la clave "SETUP", que es utilizada durante la
configuración del sistema, y cuyos valores no suele ser util cambiarlos,
y la ultima que voy a referenciar en este apartado es la clave WPA, que
contiene la información sobre activación de nuestro windows xp.


La última rama principal que voy a tratar en esta serie de artículo es
la rama,

HKEY_CURRENT_CONFIG,

Esta rama contiene la misma información que otra que ya hemos visto, es
decir, la rama

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles

Que referencia los perfiles de hardware instalados en nuestra máquina,
por lo que no tengo mucho más que comentar sobre ella, ya que únicamente
es un puntero de esa rama.


Cargando archivos hive manualmente,

Como ya hemos visto los archivos hive se cargan automáticamente durante
el arranque, ¿pero que pasa si queremos ver su contenido?, aunque todos
los archivos hive, ubicados en el directorio \windows\system32\config,
son cargados y su contenido puede ser visualizado desde el registro, o
con las correspondientes opciones del sistema operativo, es posible que
queramos ver un archivo hive, que no se haya cargado. Un ejemplo, es el
archivo ntuser.dat, que contiene el perfil del usuario actualmente
logueado, este archivo se ubica en la carpeta que contiene el perfil del
usuario es decir en \documents and settingombre_usuario, es un archivo
que suele estar oculto, si el usuario esta logueado veremos las opciones
que tiene predefinidas, pero sino esta logueado será imposible, pues
bien, para estas tareas, podemos hacer una carga del archivo hive de
forma manual.

La carga de estos archivos solo es posible hacerla desde dos ramas la
rama HKEY_USERS y la rama HKEY_LOCAL_MACHINE, de las que, como ya vimos,
derivaban las demás, si abrimos el registro (inicio/ejecutar y tecleamos
regedit) veremos que en el menú archivo, se nos activa una opción,
llamada "cargar subárbol", seleccionamos el archivo hive que queremos
cargar, siguiendo con el ejemplo, y si queremos cargar el perfil de un
usuario que no esté actualmente logueado, tendríamos que navegar hasta
la carpeta del perfil del usuario que queramos recuperar, y seleccionar
el archivo "ntuser.dat" apropiado, posteriormente deberemos seleccionar
una clave en donde cargarlo, yo personalmente, para estas pruebas
aconsejo crear una subrama en HKEY_USERS, que se llame "pruebas", por
ejemplo. Cuando finalice el proceso veremos que toda la estructura que
tenemos en ?HKEY_CURRENT_USERS? y que refleja las preferencias del
usuario actualmente logueado, es reproducida en nuestra carpeta de
pruebas, pero con las preferencias de usuario de alguien que en este
caso no está logueado?. Que utilidad tiene todo esto? Pues muchas, por
que podemos crear un script, que nos cambie el salvapantallas por
ejemplo de todos los usuarios existentes en la máquina. Desde línea de
comandos también se puede hacer este mismo procedimiento con nuestro
querido comando "REG", además, que yo lo veo hasta más sencillo por
comandos, un ejemplo

reg load HKU\prueba "e:\documents and settings\fermutuser.dat"

(nos cargaría el perfil de un usuario no logueado en la clave
HKEY_USERS\prueba)

reg add "HKU\prueba\Control Panel\Desktop" /v Wallpaper /t REG_SZ
/d "E:\Documents and Settings\fermu.MAQUINA.000\Configuración
local\Datos de programa\Microsoft\Wallpaper1.bmp"

(Le cambiaríamos el fondo de escritorio a ese usuario en concreto,)

reg unload HKU\prueba

(Finalmente descargaríamos el perfil de ese usuario del registro)

Mediante la GUI, el equivalente de "reg unload" es "descargar subárbol"
ubicado en el menú archivo.


Bueno, hasta aquí la tercera entrega, que se me ha ido un poquito en
extensión, con esto casí he finalizado todo lo que quería comentar,
aunque se puede profundizar en muchas más cosas... Así que someto a
votación popular la publicación de una cuarta entrega, en la que
veríamos, métodos y script para hacer copias de seguridad del registro,
profundizaríamos en los tipos de datos que se pueden agregar, y veríamos
como manipular el registro desde la GUI y desde comandos?.

Saludos
Fernando M. / Registered Linux User #367696

Disculpa pero no encuentro la primera parte de tu excelente articulo, por
favor como la encuentro, es que quiero tener la trilogia completa je je je
Salu2

Hash: SHA1

Fredy Copari Huanca wrote:

Disculpa pero no encuentro la primera parte de tu excelente articulo, por
favor como la encuentro, es que quiero tener la trilogia completa je je
je
Salu2

Por ahora, solo se encuentran en google... y en este grupo de noticias,
ya que no están publicados en ningun sitio, te dejo el link.

http://groups.google.com/groups?q=e...amp;rnum=3

Saludos
Fernando M. / Registered Linux User #367696