Registro de Windows: Conceptos Basicos

El Registro de Windows.

EL registro de Windows es una base de datos jerárquica, donde Windows almacena los datos de configuración y personalización del sistema, todos los valores de configuración se almacenan en una serie de estructuras, dentro de los archivos ahí un conjunto de columnas organizadas que forman los componentes del registro y dentro de cada sección hay una lista de claves, todas estas claves tienen un nombre/valor y subclaves, el registro nos proporciona una muy buena información sobre la configuración del equipo y todas las actividades que van desde identificar que software esta instalado y contraseñas almacenadas.

No se puede hacer nada en Windows que no tenga que ver con el registro, esta todo ahí, por ejemplo cada vez que abrimos un programa, el sistema operativo consulta el registro, cada aplicación utiliza el registro para buscar su configuración, así que el registro de Windows es sin duda el centro de almacenamiento de configuración del sistema.

Estructura del Registro

La estructura del registro de Windows es muy similar a la estructura del sistema de archivos de Windows, vamos a comparar el sistema de archivos con la estructura del registro. El registro contiene claves, estas claves son similares a las carpetas, y los archivos almacenados en el disco duro pueden comparase con los valores, en el explorador de Windows puede verse cada uno de los discos y carpetas abajo de Mi PC y así mismo en el Editor del registro podemos ver cada una de las claves del registro debajo de Mi PC, con esto significa que si estamos muy familiarizados con el explorador de Windows es muy probable que no tendremos ninguna dificultad para comprender la estructura del registro.

Explorador de Windows.

Editor del Registro.

Por ejemplo vamos a comparar una típica ruta de un archivo C:\Windows\System32\prueba.txt se refiere a un archivo llamado prueba.txt localizada en la unidad C: en la subcarpeta de \System32 de Windows, y una típica ruta del registro HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper que se refiere a un valor llamado Wallpaper en la clave HKEY_CURRENT_USER en una subclave de Control Panel llamado Desktop.

El registro esta formado por cinco claves principales llamados HKEYS (Root Keys) perfectamente estructurados y donde se guarda importante información de cada aplicación o dispositivo conectado a nuestra computadora, además de todas las claves de acceso.

Esta estructura jerárquica de registro

HKEY_CLASSES_ROOT

HKEY_CLASSES_ROOT. Almacena dos tipos de archivos de ajuste, el primero es la asociación de archivos OLE (Object Linking and Embedding) con diferentes tipos de archivos y el segundo es la informacion de Component Object Model (COM). Esta clave es en realidad un puntero o enlace a HKEY_LOCAL_MACHINE\SOFTWARE\Classes.

HKEY_CURRENT_USER

Almacena cualquier información especifica del usuario que esta actualmente conectado al sistema, incluida las variables de entorno, configuración del escritorio, la configuración de la red y de las aplicaciones.

Esta clave en realidad es un puntero a HKEY_USERS\SID donde SID es el edificador de seguridad del usuario actualmente conectado al sistema.

HKEY_LOCAL_MACHINE

Almacena información sobre el hardware y software instalado en el equipo, incluidos los controladores de los dispositivos, la memoria del sistema, y la información utilizada durante el proceso de arranque, así como la configuración de seguridad, todos los ajustes en esta clave son los mismos para todos los usuarios del sistema.

HKEY_USERS

Contiene todos los perfiles de usuario activamente en el equipo, esto incluye HKEY_CURRENT_USER y el perfil de usuario predeterminado, y en cada subclave contendrá un SID (identificador de seguridad) una identificación única para cada usuario del sistema.

HKEY_CURRENT_CONFIG

Almacena toda la información sobre el perfil de configuración actual de hardware que utiliza el equipo cuando se inicia el sistema, esta clave en realidad es un puntero a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\nnnn, donde nnnn es un numero incremental a partir de 0000.

Hay un conjunto de archivos auxiliares que contiene copias de seguridad de los datos, estos archivos auxiliares de todas las secciones excepto HKEY_CURRENT_USER están en la carpeta %SystemRoot%\System32\Config en Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 y Windows Vista, y los archivos auxiliares para HKEY_CURRENT_USER se encuentran en la carpeta %SystemRoot%\Profiles\nombreDeUsuario.

Rutas del Registro y archivos correspondientes.

En la siguiente figura se muestra debajo de HKEY_LOCAL_MACHINE los cinco nombres de los subclaves SAM, SECURITY, SOFTWARE Y SYSTEM, también veremos otra mas llamada HARDWARE esta subclave es dinámica, el sistema operativo crea esta clave en la Memoria RAM cada vez que se inicia, y almacena datos sobre los dispositivos, controladores y demás recursos asociados a ellos. Cuando el sistema se apaga los datos de esta clave se pierden, es por eso que esta clave contiene información muy útil, para poder capturar información volátil.

Subclaves de HKLM

Archivos auxiliares de las subclaves SAM, SECURITY, SOFTWARE Y SYSTEM, los archivos de registro de eventos (con extensión .Evt) se encuentran en la misma carpeta.

La clave HKEY_USERS tiene su parte de subclaves y las podemos encontrar en varios lugares.