Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

Análisis del registro de Windows 1

Análisis del registro de Windows 1

¿Qué es el Registro de Windows?

El Registro de Windows es una base de datos jerárquica que contiene todas las configuraciones y ajustes utilizados por componentes, servicios, aplicaciones y casi todo en Windows.

(Algunas palabras se encontraran en Ruso)

Hay dos conceptos básicos a tener en cuenta en el registro: claves y valores. Las claves de registro son objetos que son básicamente carpetas e incluso parecen carpetas en la interfaz del Editor del registro. Los valores del registro son un poco como archivos en carpetas y contienen la configuración real.

Cuando abra el Editor del Registro por primera vez, verá una estructura de árbol en el panel izquierdo que contiene todas las claves con valores en el lado derecho. En general, se parece a un administrador de archivos con subcarpetas y subcarpetas, algunas de las cuales contienen archivos.

Tabla de contenido

1. ¿Qué es el Registro de Windows?

2. Estructura jerárquica del registro

3. ¿Qué es una colmena o colmena?

4. HKEY_CLASSES_ROOT

5. HKEY_CURRENT_USER

6. HKEY_LOCAL_MACHINE

7. HKEY_USERS

8. HKEY_CURRENT_CONFIG

9. ¿Dónde se almacena el registro en el disco?

10. Creación de claves y valores nuevos

11. Menú de favoritos

12. Exportación de archivos de registro

13. Configuración de permisos

14. Carga de colmenas de registro

15. Cómo acceder a partes privadas del registro SAM y SEGURIDAD

16. Utilidad REG

17. Programas para extraer información del registro de Windows

17.1 mimikatz

17.2 RegRippy (regrip.py)

17.3 Destripador

17.4 Explorador del registro

17.5 volcado de créditos

17.6 regipy

17,7 chntpw

17.8 Utilidades de registro de NirSoft

17.9 Recuperar secciones del registro de Windows de máquinas virtuales

17.10 winregfs

17.11 libregf

En primer lugar, prestemos atención a las claves de nivel raíz que ve en el lado izquierdo de la captura de pantalla, ya que contienen todos los datos. Cada uno de ellos almacena un conjunto diferente de información, por lo que, dependiendo de lo que intente hacer, necesitará saber a qué sección ir.

Análisis del registro de Windows 1

Una cosa interesante que la mayoría de la gente no conoce es que tres de cada cinco elementos en el nivel raíz no existen realmente … simplemente se relacionan con elementos debajo de una de las otras claves. Es decir, algunas de las claves de nivel raíz son simplemente referencias a una parte del registro en el fondo de otra clave raíz.

Estructura jerárquica del registro

La estructura del registro es similar a la estructura de un almacén de archivos.

Puede que le resulte más fácil utilizar la terminología del registro si observa formatos de árbol o almacenes de archivos. La analogía del archivo es especialmente relevante porque Windows solía configurarse desde archivos .INI. En particular, las claves en sí utilizan convenciones de nomenclatura de archivos. Esta es una característica útil porque Windows puede manipular los objetos de registro de la misma manera que los objetos de archivo.

 Las colmenas del registro tienen enlaces simbólicos, que son similares a las asignaciones de rutas virtuales en el sistema de archivos. Las subclaves de registro también tienen propietarios y permisos, al igual que los directorios y carpetas.

Tabla de terminología del registro

RegistroOtros arbolesAlmacenamiento de archivos
Bush (colmena)MaderaSistema de archivos
LlaveNudoDirectorio o carpeta
Construcción completaSubnodoSubdirectorio o subcarpeta
ValorLlaveArchivo
Un tipoUn tipoTipo de archivo
DatosValorContenido del archivo

Tenga en cuenta que la clave puede contener subsecciones o valores. Una subsección puede tener una subsección diferente, por lo que la clave y la subsección generalmente se usan indistintamente, al igual que un directorio y un subdirectorio, o una carpeta y una subcarpeta. Una clave sin un valor puede almacenar datos en un llamado valor predeterminado.

¿Qué es un registro de colmena o colmena (colmena)?

En la literatura, especialmente en los programas de análisis de registros, se utilizan con frecuencia las expresiones «colmena del registro» o «colmena del registro», que en inglés se denota con la palabra colmena . 

En cuanto a los programas para analizar el registro, la expresión «colmena del registro» suele significar uno de los archivos SOFTWARE, SAM, SEGURIDAD, SISTEMA, etc. Es decir, una colmena de registro es un archivo que almacena claves de nivel raíz o claves de nivel raíz.

En el contexto del Editor del registro, un subárbol del registro puede significar una parte jerárquica del registro, no necesariamente ubicada en un archivo separado.

HKEY_CLASSES_ROOT

HKEY_CLASSES_ROOT, a menudo abreviado como HKCR, es un subárbol de registro en el registro de Windows que contiene información de asociación de extensión de archivo, así como identificador programático (ProgID), identificador de clase (CLSID) e identificador de interfaz (IID). Esta clave es en realidad solo una referencia a HKLM \ Software \ Classes.

Análisis del registro de Windows 1

En términos simples, el subárbol de registro HKEY_CLASSES_ROOT contiene la información necesaria para que Windows sepa qué hacer cuando le pide que haga algo, por ejemplo, ver el contenido de un disco o abrir un archivo de cierto tipo, etc.

También puede utilizar esta sección si desea personalizar el menú contextual para un tipo de archivo específico.

Subclaves de registro en HKEY_CLASSES_ROOT

La lista de claves de registro en la colmena HKEY_CLASSES_ROOT es muy larga e igualmente confusa. No podemos explicar cada una de las miles de claves que puede ver allí, pero podemos dividirlas en varias partes manejables que, con suerte, aclararán un poco esta parte del registro.

Estas son algunas de las muchas claves de asociación de extensiones de archivo que encontrará en la colmena HKEY_CLASSES_ROOT, la mayoría de las cuales comienzan con un punto:

  • HKEY_CLASSES_ROOT \ .avi
  • HKEY_CLASSES_ROOT \ .bmp
  • HKEY_CLASSES_ROOT \ .exe
  • HKEY_CLASSES_ROOT \ .html
  • HKEY_CLASSES_ROOT \ .pdf
  • HKEY_CLASSES_ROOT \ AudioCD
  • HKEY_CLASSES_ROOT \ dllfile

Cada una de estas claves de registro almacena información sobre lo que debe hacer Windows cuando hace doble clic o toca dos veces un archivo con esa extensión. Puede incluir una lista de programas que se pueden encontrar en la sección «Abrir con …» al hacer clic con el botón derecho o tocar un archivo, así como la ruta a cada una de las aplicaciones enumeradas.

Por ejemplo, en su computadora, cuando abre un archivo llamado draft.rtf, el archivo se puede abrir con WordPad. Los datos de registro responsables de esto se almacenan en la clave HKEY_CLASSES_ROOT \ .rtf, que define WordPad como el programa que debe abrir el archivo RTF.

HKCR y CLSID, ProgID e IID

El resto de claves en HKEY_CLASSES_ROOT son las claves ProgID, CLSID e IID. A continuación se muestran algunos ejemplos de cada uno:

Las claves de ProgID se encuentran en la raíz HKEY_CLASSES_ROOT junto con las asociaciones de extensión de archivo descritas anteriormente:

  • HKEY_CLASSES_ROOT \ FaxServer.FaxServer
  • HKEY_CLASSES_ROOT \ JPEGFilter.CoJPEGFilter
  • HKEY_CLASSES_ROOT \ WindowsMail.Envelope

Todas las claves CLSID están en la subsección CLSID:

  • HKEY_CLASSES_ROOT \ CLSID \ {00000106-0000-0010-8000-00AA006D2EA4}
  • HKEY_CLASSES_ROOT \ CLSID \ {06C792F8-6212-4F39-BF70-E8C0AC965C23}
  • HKEY_CLASSES_ROOT \ CLSID \ {FA10746C-9B63-4b6c-BC49-FC300EA5F256}

Todas las claves IID se encuentran en la subsección Interfaz:

  • HKEY_CLASSES_ROOT \ Interface \ {0000000d-0000-0000-C000-000000000046}
  • HKEY_CLASSES_ROOT \ Interface \ {00000089-0000-0010-8000-00AA006D2EA4}
  • HKEY_CLASSES_ROOT \ Interface \ {00000129-0000-0000-C000-000000000046}

Para qué sirven las claves ProgID, CLSID e IID está relacionado con algunos aspectos muy técnicos de la programación de computadoras y está más allá del alcance de esta discusión. 

Más información sobre HKEY_CLASSES_ROOT

Si bien puede editar y eliminar por completo cualquier subclave dentro de la colmena HKEY_CLASSES_ROOT, la carpeta raíz en sí, como todas las colmenas del registro, no se puede renombrar ni eliminar.

HKEY_CLASSES_ROOT es una colmena global, lo que significa que puede contener información que se aplica a todos los usuarios en la computadora y que todos los usuarios pueden ver. Esto difiere de algunas colmenas, que tienen información que solo se aplica al usuario que inició sesión.

Sin embargo, dado que la colmena HKEY_CLASSES_ROOT es en realidad datos concatenados que se encuentran tanto en la colmena HKEY_LOCAL_MACHINE (HKEY_LOCAL_MACHINE \ Software \ Classes) como en la colmena HKEY_CURRENT_USER (HKEY_CURRENT_USER \ Software \ Classes) también contiene información específica del usuario Aunque este es el caso, HKEY_CLASSES_ROOT aún puede ser visto por cualquier usuario.

Por supuesto, esto significa que cuando se crea una nueva clave de registro en la colmena HKEY_CLASSES_ROOT, la misma clave aparecerá en HKEY_LOCAL_MACHINE \ Software \ Classes, y cuando se elimine una de ellas, la misma clave se eliminará de una ubicación diferente.

Si la clave de registro está en ambas ubicaciones pero entra en conflicto de alguna manera, los datos que se encuentran en la colmena del usuario que ha iniciado sesión, HKEY_CURRENT_USER \ Software \ Classes, tienen prioridad y se utilizan en HKEY_CLASSES_ROOT.

HKEY_CURRENT_USER

Contiene configuraciones personalizadas para el usuario que ha iniciado sesión actualmente, y generalmente se abrevia como HKCU. En realidad, es solo una referencia a HKEY_USERS \ <SID-FOR-CURRENT-USER>. La subclave más importante aquí es HKCU \ Software, que contiene configuraciones a nivel de usuario para la mayor parte de su software.

Análisis del registro de Windows 1

HKEY_CURRENT_USER contiene información de configuración para Windows y software específico para el usuario actualmente conectado.

Por ejemplo, varios valores de registro en varias claves de registro ubicadas en la colmena HKEY_CURRENT_USER controlan la configuración a nivel de usuario, como impresoras instaladas, fondos de escritorio, opciones de visualización, variables de entorno, distribución del teclado, unidades de red asignadas y más.

Muchas de las configuraciones que configura en varios subprogramas en el Panel de control se almacenan realmente en el subárbol de registro HKEY_CURRENT_USER.

Subclaves de registro en HKEY_CURRENT_USER

Estas son algunas claves de registro comunes que puede encontrar en el subárbol HKEY_CURRENT_USER:

  • HKEY_CURRENT_USER \ AppEvents
  • HKEY_CURRENT_USER \ Console
  • HKEY_CURRENT_USER \ Panel de control
  • HKEY_CURRENT_USER \ Entorno
  • HKEY_CURRENT_USER \ EUDC
  • HKEY_CURRENT_USER \ Identidades
  • HKEY_CURRENT_USER \ Distribución del teclado
  • HKEY_CURRENT_USER \ Red
  • HKEY_CURRENT_USER \ Impresoras
  • HKEY_CURRENT_USER \ Software
  • HKEY_CURRENT_USER \ System
  • HKEY_CURRENT_USER \ Entorno volátil

Las claves de registro ubicadas en el subárbol HKEY_CURRENT_USER de su computadora pueden diferir de la lista anterior. La versión de Windows que está utilizando y el software que instaló determinan qué claves pueden estar presentes allí.

Dado que el subárbol HKEY_CURRENT_USER es específico del usuario, las claves y los valores que contiene diferirán de un usuario a otro, incluso en la misma computadora. Esto contrasta con la mayoría de las otras colmenas de registro globales, como HKEY_CLASSES_ROOT, que mantienen la misma información para todos los usuarios de Windows.

Ejemplos de HKCU

A continuación, se muestra información sobre varios ejemplos de claves que se encuentran en la colmena HKEY_CURRENT_USER:

  • HKEY_CURRENT_USER \ APPEVENTS \ EVENTLABELS

Aquí puede encontrar accesos directos, sonidos y descripciones para varias funciones en Windows y aplicaciones de terceros, como tonos de fax, tareas de iTunes completadas, alerta de batería baja, tonos de correo y más.

  • HKEY_CURRENT_USER \ CONTROL PANEL

La sección \ Panel de control \ Teclado contiene varias opciones de teclado, como el retardo del teclado y la velocidad del teclado, las cuales están controladas por las opciones de retardo de repetición y frecuencia de repetición del subprograma del Panel de control del teclado.

El subprograma del mouse es otro cuya configuración se almacena en HKEY_CURRENT_USER \ Control Panel \ Mouse key. Algunos parámetros incluyen DoubleClickHeight, ExtendedSounds, MouseSensitivity, MouseSpeed, MouseTrails y SwapMouseButtons.

Otra sección del panel de control está destinada exclusivamente al cursor del mouse, se encuentra en la sección «Cursores». Aquí es donde se almacenan el nombre y la ubicación física de los archivos de cursor predeterminados y los cursores personalizados. Windows usa archivos de cursor fijos y animados con extensiones de archivo CUR y ANI respectivamente, por lo que la mayoría de los archivos de cursor que se encuentran aquí apuntan a este tipo de archivos en la carpeta% SystemRoot% \ cursors \.

Lo mismo ocurre con la tecla de escritorio del panel de control de HKCU, que especifica muchos parámetros de escritorio, como WallpaperStyle, que describe si el fondo de pantalla debe estar centrado o extendido a lo largo de la pantalla. Otros en el mismo lugar incluyen CursorBlinkRate, ScreenSaveActive, ScreenSaveTimeOut y MenuShowDelay.

  • HKEY_CURRENT_USER \ ENVIRONMENT

La clave de entorno es donde residen las variables de entorno como PATH y TEMP. Los cambios se pueden realizar aquí o mediante el Explorador de Windows y se reflejarán en ambos lugares.

  • HKEY_CURRENT_USER \ SOFTWARE

Esta clave de registro enumera muchas entradas de software específicas del usuario. Un ejemplo es la ubicación del programa del navegador web Firefox. Esta subsección contiene el valor PathToExe, que explica dónde se encuentra firefox.exe en la carpeta de instalación:

unoHKEY_CURRENT_USER\Software\Mozilla\Mozilla Firefox\57.0

Más información sobre HKEY_CURRENT_USER

La colmena HKEY_CURRENT_USER es realmente solo un puntero a una clave ubicada debajo de la colmena HKEY_USERS, que lleva el nombre de su SID. Puede realizar cambios en cualquier lugar, ya que son los mismos.

La razón por la que existe HKEY_CURRENT_USER, dado que es solo un punto de referencia para otra colmena, es que proporciona una forma más fácil de ver la información. Alternativamente, busque el SID de su cuenta y navegue hasta esa área en el subárbol HKEY_USERS.

Nuevamente, lo que sea visible en HKEY_CURRENT_USER solo se aplica al usuario que ha iniciado sesión actualmente, no a otros usuarios existentes en la computadora. Esto significa que cada usuario que inicie sesión obtendrá su propia información de la colmena HKEY_USERS correspondiente, lo que a su vez significa que el HKEY_CURRENT_USER será diferente para cada usuario que lo vea.

Debido a la forma en que está configurado, simplemente puede navegar al SID de otro usuario en HKEY_USERS para ver lo que ven en HKEY_CURRENT_USER cuando inician sesión.

HKEY_LOCAL_MACHINE

Aquí es donde se almacenan todas las configuraciones de todo el sistema y generalmente se abrevia como HKLM. Básicamente, usará la clave HKLM \ Software para verificar la configuración de todo el sistema.

Análisis del registro de Windows 1

HKEY_LOCAL_MACHINE, a menudo abreviado como HKLM, es una de las varias colmenas del registro que componen el registro de Windows. Esta colmena en particular contiene la mayor parte de la información de configuración del software que ha instalado, así como del sistema operativo Windows en sí.

Además de los datos de configuración del software, la colmena HKEY_LOCAL_MACHINE también contiene mucha información valiosa sobre el hardware y los controladores de dispositivos detectados.

En Windows 10, Windows 8, Windows 7 y Windows Vista, la información de configuración de arranque de su computadora también se incluye en esta sección.

Subclaves de registro en HKEY_LOCAL_MACHINE

Las siguientes claves de registro se encuentran en la colmena HKEY_LOCAL_MACHINE:

  • HKEY_LOCAL_MACHINE \ BCD00000000
  • HKEY_LOCAL_MACHINE \ COMPONENTS
  • HKEY_LOCAL_MACHINE \ DRIVERS
  • HKEY_LOCAL_MACHINE \ HARDWARE
  • HKEY_LOCAL_MACHINE \ SAM
  • HKEY_LOCAL_MACHINE \ Schema
  • HKEY_LOCAL_MACHINE \ SECURITY
  • HKEY_LOCAL_MACHINE \ SOFTWARE
  • HKEY_LOCAL_MACHINE \ SYSTEM

Las claves ubicadas en la sección HKEY_LOCAL_MACHINE de su computadora pueden diferir ligeramente según su versión de Windows y la configuración específica de su computadora. Por ejemplo, las versiones más recientes de Windows no incluyen la clave HKEY_LOCAL_MACHINE \ COMPONENTS.

La subsección HARDWARE contiene datos relacionados con BIOS, procesadores y otros dispositivos de hardware. Por ejemplo, HARDWARE es DESCRIPCIÓN> Sistema> BIOS, donde encontrará la versión actual del BIOS e información sobre el fabricante de la placa base.

La sección SOFTWARE es la más utilizada de los casquillos HKLM. Está organizado alfabéticamente por proveedor de software, y aquí es donde cada programa escribe datos en el registro para que la próxima vez que abra la aplicación, su configuración específica se pueda aplicar automáticamente para que no tenga que reconfigurar el programa cada vez que lo use. También es útil cuando se busca el SID de un usuario.

La subsección SOFTWARE también contiene una subsección de Windows que describe varios detalles de la interfaz de usuario del sistema operativo, una subsección de Clases que detalla qué programas están asociados con qué extensiones de archivo y otros.

HKLM \ SOFTWARE \ Wow6432Node \ ocurre en versiones de Windows de 64 bits, pero lo utilizan aplicaciones de 32 bits. Es equivalente a HKLM \ SOFTWARE, pero no exactamente lo mismo, ya que está dedicado con el único propósito de proporcionar información a aplicaciones de 32 bits en un sistema operativo de 64 bits. WoW64 muestra esta clave para aplicaciones de 32 bits como «HKLM \ SOFTWARE \».

Subsecciones ocultas en HKLM

En la mayoría de las configuraciones, las siguientes subclaves son claves ocultas y no se pueden ver como otras subclaves en el subárbol de registro HKLM:

  • HKEY_LOCAL_MACHINE \ SAM
  • HKEY_LOCAL_MACHINE \ SECURITY

La mayoría de las veces, estas claves se ven vacías cuando las abre y / o contienen subclaves vacías.

La subsección SAM se refiere a la información sobre las bases de datos del Administrador de cuentas de seguridad (SAM) para dominios. Cada base de datos contiene alias de grupo, usuarios, cuentas de invitado y administrador, así como el nombre utilizado para iniciar sesión en el dominio, hashes criptográficos de la contraseña de cada usuario y más.

La subclave SEGURIDAD se utiliza para almacenar la política de seguridad del usuario actual. Está vinculado a la base de datos de seguridad del dominio en el que el usuario está conectado, o al subárbol del registro en la computadora local si el usuario está conectado al dominio del sistema local.

Para ver el contenido de una clave SAM o de SEGURIDAD, el Editor del Registro debe abrirse con una cuenta del sistema que tenga más privilegios que cualquier otro usuario, incluso un usuario con derechos de administrador. A continuación se mostrará cómo hacer esto.

Después de abrir el Editor del Registro con los permisos adecuados, las claves HKEY_LOCAL_MACHINE \ SAM y HKEY_LOCAL_MACHINE \ SECURITY se pueden examinar como cualquier otra clave en la colmena.

Algunas utilidades gratuitas, como PsExec de Microsoft, pueden abrir el Editor del Registro con los permisos adecuados para ver estas claves ocultas.

Más información sobre HKEY_LOCAL_MACHINE

Puede ser interesante saber que HKEY_LOCAL_MACHINE no existe en ningún lugar de la computadora, sino que es solo un contenedor para mostrar los datos de registro reales cargados a través de subclaves ubicadas en las colmenas enumeradas anteriormente.

En otras palabras, HKEY_LOCAL_MACHINE actúa como un acceso directo a otras fuentes de datos sobre su computadora.

Debido al hecho de que HKEY_LOCAL_MACHINE no existe, ni usted ni ningún programa que haya instalado pueden crear claves adicionales en HKEY_LOCAL_MACHINE.

El subárbol HKEY_LOCAL_MACHINE es global, lo que significa que es el mismo sin importar qué usuario en la computadora lo esté viendo, a diferencia de un subárbol de registro como HKEY_CURRENT_USER, que es específico para cada usuario que lo ve al iniciar sesión.

Aunque HKEY_LOCAL_MACHINE a menudo se escribe HKLM, no es realmente una abreviatura «oficial». Es importante saber esto porque algunos programas en algunos casos, incluso las herramientas disponibles directamente de Microsoft, no le permitirán abreviar el nombre de la colmena en las rutas de registro de esta manera. Si obtiene un error al usar «HKLM», use la ruta completa en su lugar y vea si eso soluciona su problema.

HKEY_USERS

Guarda todas las configuraciones para todos los usuarios del sistema. Por lo general, usa HKCU para acceder a su configuración, pero si necesita verificar la configuración de otro usuario en su computadora, puede usar esta sección.

Análisis del registro de Windows 1

HKEY_USERS, a veces llamado HKU, es una de las muchas colmenas de registro del Registro de Windows.

Contiene información de configuración personalizada para todos los usuarios actualmente activos en la computadora. Esto significa que los usuarios que están conectados actualmente (usted) y cualquier otro usuario que también haya iniciado sesión pero que se encuentran en un estado de «cambio de usuario».

Cada clave de registro ubicada en el subárbol HKEY_USERS corresponde a un usuario en el sistema y se nombra con el SID o SID de ese usuario. Las claves de registro y los valores de registro ubicados bajo cada configuración de control de SID para un usuario determinado, como unidades asignadas, impresoras instaladas, variables de entorno, fondo de escritorio y más, se cargan la primera vez que el usuario inicia sesión.

Subclaves de registro en HKEY_USERS

Aquí hay un ejemplo de lo que puede encontrar en esta colmena:

  • HKEY_USERS \ .DEFAULT
  • HKEY_USERS \ S-1-5-18
  • HKEY_USERS \ S-1-5-19
  • HKEY_USERS \ S-1-5-20
  • HKEY_USERS \ S-1-5-21-1461214404-118510055-3688602372-1001
  • HKEY_USERS \ S-1-5-21-1461214404-118510055-3688602372-1001_Classes

Los SID que ve aquí sin duda serán diferentes de la lista que incluimos anteriormente.

Si bien es muy probable que tenga .DEFAULT, S-1-5-18, S-1-5-19 y S-1-5-20 que coincidan con las cuentas del sistema integrado, sus claves son S-1-5- 21-xxx serán exclusivos de su computadora, ya que corresponden a cuentas de usuario de Windows «reales».

Más sobre HKEY_USERS y SID

La colmena HKEY_CURRENT_USER actúa como una especie de acceso directo a la subclave HKEY_USERS correspondiente a su SID.

En otras palabras, cuando realiza cambios en HKEY_CURRENT_USER, está realizando cambios en las claves y valores bajo la clave en HKEY_USERS, que tiene el mismo nombre que su SID.

Por ejemplo, si su SID es el siguiente:

unoS-1-5-21-0123456789-012345678-0123456789-1004

… HKEY_CURRENT_USER indicará esto:

unoHKEY_USERS\S-1-5-21-0123456789-012345678-0123456789-1004

Puede editar en cualquier lugar, ya que son uno y el mismo.

Cómo encontrar el identificador de seguridad de un usuario (SID) en Windows

Si desea cambiar los datos de registro de un usuario cuyo SID no aparece en HKEY_USERS, puede iniciar sesión como ese usuario y realizar el cambio, o cargar manualmente el subárbol de registro de ese usuario. Consulte la sección «Cómo cargar el subárbol del registro» a continuación si necesita ayuda.

Recuerde que, dado que son iguales, si está editando su propia configuración (la configuración del usuario con el que ha iniciado sesión actualmente), es mucho más fácil abrir HKEY_CURRENT_USER que definir su propio SID y luego realizar cambios en HKEY_USERS. El uso de HKEY_USERS para acceder a la carpeta SID de un usuario generalmente solo es útil si necesita cambiar los valores de registro de un usuario que no está conectado actualmente.

La subclave HKEY_USERS \ .DEFAULT es exactamente la misma que la subclave HKEY_USERS \ S-1-5-18. Cualquier cambio realizado en uno se refleja de forma automática e instantánea en el otro, al igual que la subclave SID del usuario actual en HKEY_USERS es idéntica a los valores encontrados en HKEY_CURRENT_USER.

También es importante saber que HKEY_USERS \ .DEFAULT es utilizado por la cuenta LocalSystem y no por la cuenta de usuario normal. Esta clave a menudo se confunde con una que se puede editar para que los cambios se apliquen a todos los usuarios, dado que se llama «predeterminada» (DEFAULT), pero este no es el caso.

Las otras dos subclaves HKEY_USERS en el registro de Windows que utilizan las cuentas del sistema incluyen S-1-5-19, que es para la cuenta LocalService, y S-1-5-20, que es utilizada por la cuenta NetworkService.

HKEY_CURRENT_CONFIG

Almacena toda la información sobre la configuración actual del hardware. No se usa con mucha frecuencia y es solo un enlace a HKLM \ SYSTEM \ CurrentControlSet \ Hardware Profiles \ Current.

Análisis del registro de Windows 1

HKEY_CURRENT_CONFIG, a veces abreviado como HKCC, es una colmena de registro que forma parte del registro de Windows. No almacena en sí mismo ninguna información, sino que actúa como un puntero o acceso directo a la clave de registro que almacena información sobre el perfil de hardware utilizado actualmente.

HKEY_CURRENT_CONFIG es el atajo para la colmena HKEY_LOCAL_MACHINE. Específicamente, la clave de registro \ SYSTEM \ CurrentControlSet \ Hardware Profiles \ Current \ de esta colmena. Aquí es donde realmente se almacena la información: HKEY_CURRENT_CONFIG solo proporciona una forma rápida de llegar allí.

Por lo tanto, HKEY_CURRENT_CONFIG realmente existe solo por conveniencia. Es más fácil acceder a los datos en otra clave de registro: verlos y modificarlos simplemente yendo a HKEY_CURRENT_CONFIG. Dado que contienen la misma información y siempre están vinculados entre sí, puede realizar cambios en cualquier lugar para obtener los mismos resultados.

Subclaves de registro en HKEY_CURRENT_CONFIG

Dos claves de registro que encontrará en la colmena HKEY_CURRENT_CONFIG:

  • HKEY_CURRENT_CONFIG \ Software
  • HKEY_CURRENT_CONFIG \ System

Más información sobre HKEY_CURRENT_CONFIG

Como dijimos anteriormente, HKEY_CURRENT_CONFIG replica todo en HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Hardware Profiles \ Current \. Esto significa que si cambia algo en la primera clave de registro, se reflejará en la segunda y viceversa.

Por ejemplo, si agrega, edita, elimina o cambia el nombre de algo en HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Hardware Profiles \ Current \ Software \ y luego sale del editor de registro y vuelve a abrirlo (o actualizarlo con la tecla F5), verá que el cambio ocurrió inmediatamente en la clave HKEY_CURRENT_CONFIG \ Software \.

Puede notar que hay varias claves de registro dentro de HKLM \ SYSTEM \ CurrentControlSet \ Hardware Profiles \. Esto se debe a que esta clave de registro se utiliza para almacenar todos los perfiles de hardware de todo el equipo. La razón por la que solo ve un perfil de hardware en la clave HKEY_CURRENT_CONFIG es porque solo apunta a uno de estos perfiles de hardware, específicamente el que pertenece al usuario actualmente conectado.

En algunas versiones de Windows, puede crear perfiles de hardware adicionales haciendo clic en el enlace Sistema en el Panel de control. Haga clic o toque la pestaña Hardware y luego Perfiles de hardware.

¿Dónde se almacena el registro en el disco?

Los archivos de registro se almacenan en varias ubicaciones.

Puede encontrar la mayoría de ellos en la carpeta C: \ Windows \ System32 \ config .

Análisis del registro de Windows 1

¿Ves estos archivos SAM , SECURITY , SOFTWARE y SYSTEM ? Corresponden a las mismas claves en la carpeta HKEY_LOCAL_MACHINE.

Los datos de la rama HKEY_CURRENT_USER se almacenan en su carpeta de usuario en un archivo NTUSER.DAT oculto . Este archivo es diferente para cada usuario del sistema operativo, es decir, puede haber muchos archivos de este tipo en una computadora.

La siguiente tabla enumera todos los directorios de Windows donde puede encontrar los archivos de datos de registro. Estos archivos son en realidad instantáneas de la mayoría de las colmenas del registro, pero no de todas. La Tabla 3 enumera las ubicaciones de los archivos principales. Si observa su unidad, verá que hay subdirectorios adicionales en cada uno de estos directorios.

Notación universal para la ubicación del archivoEjemplo de ubicación de archivoNombre del archivoDescripción
% Perfil del usuario%C: \ Usuarios \ NOMBRE DE USUARIO \NTUser.datConfiguración del perfil de usuario
% SystemRoot% \ System32 \ Config \C: \ Windows \ System32 \ Config \Componentes Sistema de software de seguridad SAM
predeterminado


configuración del sistema
% SystemRoot% \ ServiceProfiles \ LocalService% SystemRoot% \ ServiceProfiles \ LocalServiceC: \ Windows \ ServiceProfiles \ LocalServiceC: \ Windows \ ServiceProfiles \ LocalServiceNTUser.datConfiguraciones de perfil de usuario utilizadas por Windows
% SystemDrive% \ Boot
o
% SystemDrive% \ EFI \ Microsoft \ Boot
C: \ Boot \
o
C: \ EFI \ Microsoft \ Boot
BCDDatos de configuración de arranque
% UserProfile %%
SystemRoot% \ System32 \ Config \
% SystemRoot% \ System32 \ Config \ Txr,
etc.
C: \ Usuarios \ Nombre de usuario \
C: \ Windows \ System32 \ Config \
C: \ Windows \ System32 \ Config \ Txr,
etc.
 Los archivos de registro de transacciones se pueden encontrar en las carpetas principales del subárbol del registro.

Hay varios tipos de archivos de registro

Los archivos de registro primarios generalmente no tienen extensión (con la excepción de NTUser.dat), pero hay otros archivos. Adjuntan la extensión a todo el nombre del archivo, incluida la extensión original. La Tabla 4 muestra la mayoría de estos tipos de archivos.

Extensión de archivoNombres de archivo de ejemploobjetivo
NoSistema
NTUser.dat
Copia de seguridad de Hive desde Configuration Manager
ALTSystem.altCopias de seguridad de claves del sistema generadas en Configuration Manager
BLFNTUSER.DAT {016888bd-6c6f-11de-8d1d-001e0bcde3ec} .TM.blfArchivos de transacciones TxR 1
REGISTRO, REGISTRO nSystem.log, System.log1, etc.
NTUser.dat.log, NTUser.dat.log1, etc.
Registro de transacciones de cambios de claves y valores generados por Configuration Manager
REGTRANS-MSNTUSER.DAT {016888bd-6c6f-11de-8d1d-001e0bcde3ec}
.TMContainer00000000000000000001
.regtrans-ms
Archivos de transacciones TxR 1
REGsin  nombres estándar Archivos de registro generados por RegEdit y otros programas.
SAVSystem.savArchivo de configuración inicial del SISTEMA para Windows Vista y 7. Una copia de seguridad de la configuración del sistema Windows 2000, XP, 2003 al final del inicio del modo de texto antes del inicio del modo de gráficos. Si el modo de gráficos no funciona, reiniciar carga el archivo .sav para omitir el modo de texto.

1 A partir de Vista, Transactional Registry (TxR) realiza actualizaciones de transacciones administradas por el modo de kernel de Windows Transaction Manager (TM). Esto proporciona transacciones atómicas donde todas las actualizaciones se realizan juntas o no se realizan en absoluto. Transaction Manager utiliza un sistema de archivos de registro compartido y almacena los archivos de registro en la carpeta% SystemRoot% \ System32 \ Config \ (por ejemplo, C: \ Windows \ System32 \ Config \) y en la subcarpeta Txr, así como en otras carpetas de registro.

Creando nuevas claves y valores

Al hacer clic con el botón derecho en cualquier tecla del lado izquierdo de la ventana, se le presentará un conjunto de opciones, la mayoría de las cuales son bastante simples y fáciles de entender.

Análisis del registro de Windows 1

Puede crear una nueva clave para que aparezca como una carpeta en el lado izquierdo o un nuevo valor para que aparezca en el lado derecho. Estos valores pueden ser un poco confusos, pero en realidad solo hay un par de valores que se utilizan con regularidad.

  • Parámetro de cadena (REG_SZ) : contiene todo lo que cabe en una cadena normal. En la gran mayoría de los casos, puede editar líneas legibles por humanos sin romper nada.
  • Parámetro binario (REG_BINARY) : este valor contiene datos binarios arbitrarios y casi nunca querrá intentar editar una de estas claves.
  • Parámetro DWORD (32 bits) (REG_DWORD) : estos se utilizan casi siempre para un valor entero regular, ya sea solo 0 o 1, o números del 0 al 4,294,967,295.
  • Parámetro QWORD (64 bits) (REG_QWORD) : no se usan con mucha frecuencia para trabajar con el registro, pero principalmente es un valor entero de 64 bits.
  • Parámetro de cadena múltiple (REG_MULTI_SZ) : estos valores son bastante inusuales, pero funcionan principalmente como una ventana de bloc de notas. Puede ingresar información de texto de varias líneas en dicho campo.
  • Parámetro de cadena extensible (REG_EXPAND_SZ) : estas variables tienen una cadena que puede contener variables de entorno y, a menudo, se utilizan para rutas del sistema. Entonces, la cadena podría ser% SystemDrive% \ Windows, que se expande a C: \ Windows. Esto significa que cuando encuentre un valor en el registro que esté configurado para este tipo, puede cambiar o insertar variables de entorno y se «expandirán» antes de usar la cadena.

Dato curioso: DWORD es la abreviatura de palabra doble porque palabra es el término para la unidad de datos predeterminada utilizada por el procesador y cuando se creó Windows tenía 16 bits. Por lo tanto, «palabra» es de 16 bits y «palabra doble» es de 32 bits. Aunque todos los procesadores modernos son de 64 bits, el registro aún usa el formato anterior para la compatibilidad.

Menú de favoritos

Una característica realmente útil que nadie parece notar es el menú Favoritos, que es excelente si desea verificar regularmente la ubicación de su registro. Lo realmente divertido es que puede exportar su lista de favoritos y usarla nuevamente en otra computadora, sin tener que volver a configurarla en una nueva máquina. Es decir, puede transferir su lista de favoritos con las ubicaciones de registro más populares a cualquier sistema.

Análisis del registro de Windows 1

También es una excelente manera de agregar algo al registro si está navegando en varias ubicaciones, para que pueda regresar fácilmente a donde estaba la última vez.

Exportación de archivos de registro

Puede exportar las claves de registro y todos los valores que se encuentran debajo haciendo clic derecho en la clave y seleccionando Exportar. Esto es realmente importante si va a realizar cambios en su sistema.

Análisis del registro de Windows 1

Una vez que tenga el archivo de registro exportado, puede hacer doble clic en él para ingresar la información nuevamente en el registro, o puede seleccionar Modificar para ver el contenido en el Bloc de notas.

Análisis del registro de Windows 1

El formato de archivo para el registro es bastante simple: los nombres de los valores a la izquierda y los valores reales a la derecha.

Establecer permisos

Algunas claves de registro impiden que se realicen cambios de forma predeterminada. Esto suele suceder porque no tiene permisos para estas claves, pero puede personalizar el esquema de permisos si lo desea haciendo clic con el botón derecho en la clave y seleccionando Permisos, luego cambiándolos desde allí.

Análisis del registro de Windows 1

Cabe señalar que esto no es una buena idea y, por lo general, debe evitar editar secciones y claves para las que no tiene permiso de forma predeterminada.

Cargando colmenas de registro

Puede utilizar la función Archivo → Cargar subárbol para cargar el registro desde el sistema fuera de línea. Es posible que esté solucionando problemas en otra computadora y desee saber qué está pasando en el registro de un sistema que no arranca. Entonces, arranca el sistema desde un disco de rescate, o tal vez un Live CD de Linux, y luego copia los archivos de registro a su unidad flash.

Ahora puede abrirlos en otra computadora y mirar alrededor usando la opción Load Hive .

Cómo acceder a partes privadas del registro SAM y SEGURIDAD

Como ya se mencionó, las claves de registro

  • HKEY_LOCAL_MACHINE \ SAM
  • HKEY_LOCAL_MACHINE \ SECURITY

no se muestra en el Editor del registro:

Análisis del registro de Windows 1

Para verlos, debe abrir el programa regedit con los derechos del nivel de cuenta del sistema. El punto es que los derechos de administrador no son los más altos en Windows. Sistema.

Puede abrir cualquier programa con derechos del sistema utilizando la utilidad PsExec . Esta utilidad está incluida en PSTools de SysInternals. En resumen, esta es una utilidad oficial de Microsoft. Para obtener más detalles y un enlace de descarga, consulte ¿Qué son las herramientas de SysInternals y cómo usarlas? «.

Después de descargar y descomprimir el archivo de PSTools , vaya a la carpeta del programa en la línea de comando. Recuerde que puede ejecutar el programa con los derechos de la cuenta del sistema solo si la línea de comandos está abierta con derechos de administrador. Para hacer esto, presione Win + xy seleccione » Windows PowerShell (administrador) «.

Use cd para ir a la carpeta con las utilidades de SysInternals descomprimidas, por ejemplo:

unocd C:\Users\MiAl\Downloads\PSTools\

Ahora ejecute el programa PsExec con los interruptores -s y -i :

uno.\PsExec64.exe -s -i regedit.exe

Como resultado, podrá ver y editar el contenido de las colmenas de registro HKEY_LOCAL_MACHINE \ SAM y HKEY_LOCAL_MACHINE \ SECURITY. Recuerde que la edición de estas colmenas puede provocar una inoperabilidad total del sistema, ¡como resultado de lo cual no arrancará!

Análisis del registro de Windows 1

Utilidad REG

La utilidad REG es un programa integrado de Windows que le permite realizar varias acciones con el registro, como guardar las colmenas del registro o partes de ellas en un archivo, agregar, eliminar valores, consultar el registro, copiar y más.

Echemos un vistazo más de cerca a las capacidades REG.

Vista general del equipo:

unoREG <операция> [Список параметров]

Las operaciones pueden incluir:

  • CONSULTA
  • AÑADIR
  • ELIMINAR
  • COPIAR
  • SALVAR
  • CARGA
  • DESCARGAR
  • RESTAURAR
  • COMPARAR
  • EXPORTAR
  • IMPORTAR
  • Banderas

REG SAVE: guarda el subárbol del registro en un archivo.

unoREG SAVE <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséisимя_раздела   КОРЕНЬ\<подраздел>КОРЕНЬ      [ HKLM | HKCU | HKCR | HKU | HKCC ]подраздел   Полное имя подраздела реестра в одном из выбранных корневыхфайлов. имя_файла     Имя диска, на который сохраняется файл. Если путь не указан,то файл создается в текущей папке вызывающего процесса. /y            Выполнение замены существующего файла без запросаподтверждения. /reg:32       Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64       Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplo. Guardar el subárbol de MyApp en el archivo AppBkUp.hiv de la carpeta actual:

unoREG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv

REG QUER: muestra el valor de un parámetro de registro

Utilizando:

uno23REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s][/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель][/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséis17Dieciocho19veinte212223242526272829treinta31323334353637383940414243444546474849cincuenta51525354имя_раздела [\\компьютер\]полное_имя_разделакомпьютер          — имя удаленного компьютера, по умолчаниюиспользуется текущий компьютер.На удаленных компьютерах доступны толькоразделы HKLM и HKUполное_имя_раздела — путь в форме корневой_раздел\подразделкорневой раздел — [ HKLM | HKCU | HKCR | HKU | HKCC ]подраздел       — полное имя раздела реестра в указанномкорневом_разделе /v          Запросы требуемых параметров в указанном разделе реестра.Если не указано, запрашиваются все параметры раздела. Аргумент этого параметра может быть необязательным, только еслизадан параметр /f. Это указывает на поиск только в именахпараметров реестра. /ve         Запросы параметра по умолчанию или с пустым именем (поумолчанию). /s          Запрос всех вложенных подразделов и их параметров (аналогичнокоманде dir /s). /se         Указание разделителя (длиной в 1 знак) в строке данных дляREG_MULTI_SZ. По умолчанию в качестве разделителя используется"\0". /f          Данные или шаблон для поиска.Если строка содержит пробелы, заключайте ее в кавычки.Значение по умолчанию: "*". /k          Указывает на поиск только в именах разделов. /d          Указывает на поиск только в данных. /c          Указывает на учет регистра знаков при поиске.По умолчанию при поиске регистр знаков не учитывается. /e          Указывает на возврат только точных совпадений.По умолчанию возвращаются все совпадения. /t          Указывает тип данных параметра реестра.Допустимые типы:REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ,REG_DWORD, REG_QWORD, REG_BINARY, REG_NONEПо умолчанию будут использоваться все типы. /z          Подробности: отображение числового кода типа имени значения. /reg:32  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos:

Visualización del valor de registro de la versión:

unoREG QUERY HKLM\Software\Microsoft\ResKit /v Version

Visualización de todas las subclaves y sus parámetros en la clave de registro de configuración de la computadora remota ABC:

unoREG QUERY \\ABC\HKLM\Software\Microsoft\ResKit\Nt\Setup /s

Visualización de todas las subsecciones y parámetros con un signo «#» como separador de todos los parámetros del tipo REG_MULTI_SZ:

unoREG QUERY HKLM\Software\Microsoft\ResKit\Nt\Setup /se #

Muestra clave, parámetro y datos con letras de registro para coincidencias exactas con «SISTEMA» de tipo REG_SZ de la clave raíz HKLM:

unoREG QUERY HKLM /f SYSTEM /t REG_SZ /c /e

Mapeo de la sección, parámetro y datos para coincidencias con «0F» de tipo REG_BINARY entre los datos en la sección raíz de la HKCU:

unoREG QUERY HKCU /f 0F /d /t REG_BINARY

Visualización de parámetros y datos para el valor vacío (predeterminado) en HKLM \ SOFTWARE:

unoREG QUERY HKLM\SOFTWARE /ve

REG ADD: agregar claves y parámetros al registro

Utilizando:

uno23REG ADD <имя_раздела> [/v <имя_параметра> | /ve] [/t <тип>] [/s <разделитель>][/d <данные>] [/f][/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséis17Dieciocho19veinte212223242526272829treinta3132333435имя_раздела  [\\<компьютер>\]<раздел> Компьютер — имя удаленного компьютера. Если оно опущено, то поумолчанию используется локальный компьютер. На удаленномкомпьютере доступны только корневые разделы HKLM и HKU. Раздел —    КОРЕНЬ\<подраздел> КОРЕНЬ —    [ HKLM | HKCU | HKCR | HKU | HKCC ] Подраздел — полное имя подраздела реестра в указанном корневом разделе. /v   Имя параметра, добавляемого в выбранный раздел. /ve  Добавление параметра с пустым именем (по умолчанию) в этот раздел. /t   Тип данных[ REG_SZ    | REG_MULTI_SZ | REG_EXPAND_SZ |REG_DWORD | REG_QWORD    | REG_BINARY    | REG_NONE ]Если не указывается, то по умолчанию используется REG_SZ. /s   Символ, используемый в качестве разделителя данных для параметровтипа REG_MULTI_SZ. Если не указан, то в качестве разделителяиспользуется "\0". /d       Значение, присваиваемое добавляемому параметру реестра. /f       Принудительно перезаписывает существующую запись реестра беззапроса подтверждения. /reg:32  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos:

Agrega la sección HKLM \ Software \ MyCo en la computadora remota ABC:

unoREG ADD \\ABC\HKLM\Software\MyCo

Agrega el parámetro (nombre: Datos, tipo: REG_BINARY, datos: fe340ead):

unoREG ADD HKLM\Software\MyCo /v Data /t REG_BINARY /d fe340ead

Agrega el parámetro (nombre: MRU, tipo: REG_MULTI_SZ, datos: fax \ 0mail \ 0 \ 0):

unoREG ADD HKLM\Software\MyCo /v MRU /t REG_MULTI_SZ /d fax\0mail

Agrega el parámetro (nombre: Ruta, tipo: REG_EXPAND_SZ, datos:% systemroot%) En la cadena para expandir, use el carácter de intercalación (^):

unoREG ADD HKLM\Software\MyCo /v Path /t REG_EXPAND_SZ /d ^%systemroot^%

REG DELETE: elimina una clave o un valor de registro

Utilizando:

uno2REG DELETE <имя_раздела> [/v <имя_параметра> | /ve | /va] [/f][/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséis17Dieciocho19veinte212223имя_раздела  [\\<компьютер>\]<раздел>компьютер  Имя удаленного компьютера; если оно опущено, по умолчаниюиспользуется локальный компьютер. На удаленном компьютере можноиспользовать только корневые разделы HKLM и HKU.раздел     КОРЕНЬ\подразделКОРЕНЬ     [ HKLM | HKCU | HKCR | HKU | HKCC ]подраздел  Полное имя подраздела реестра в одном из выбранных корневыхразделов. имя_параметра Имя параметра, удаляемого из выбранного раздела. Если оноопущено, удаляются все подразделы и значения указанного раздела. /ve          Удаляет пустое имя параметра (по умолчанию). /va          Удаляет все параметры в указанном разделе. /f           Выполняет принудительное удаление без запроса подтверждения. /reg:32      Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64      Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos:

Elimina la clave de registro Timeout y todas sus subclaves y parámetros:

unoREG DELETE HKLM\Software\MyCo\MyApp\Timeout

Elimina la configuración de registro MTU de la clave MyCo en la computadora ZODIAC:

unoREG DELETE \\ZODIAC\HKLM\Software\MyCo /v MTU

REG COPY – copia de subsecciones y parámetros

Utilizando:

unoREG COPY <раздел1> <раздел2> [/s] [/f] [/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséis17раздел       Имя раздела в формате: [\\Компьютер\]Путькомпьютер  Имя удаленного компьютера: если оно опущено, то по умолчаниюсчитается равным имени локального компьютера. Для удаленныхкомпьютеров доступны только HKLM и HKU.путь       Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел.КОРЕНЬ     Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].подраздел  Полный путь к разделу реестра в выбранном корневом разделе. /s           Копирование всех подразделов и параметров. /f           Принудительное копирование без дополнительного предупреждения. /reg:32      Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64      Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos:

Copia todas las subclaves y parámetros de la sección MyApp en la sección SaveMyApp:

unoREG COPY HKLM\Software\MyCo\MyApp HKLM\Software\MyCo\SaveMyApp /s

Copia todos los parámetros de la sección MyCo de la computadora ZODIAC a la sección MyCo1 en la computadora local:

unoREG COPY \\ZODIAC\HKLM\Software\MyCo HKLM\Software\MyCo1

REG RESTORE: restaure una partición desde un archivo (con reemplazo)

Utilizando:

unoREG RESTORE <имя_раздела> <имя_файла> [/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce1213имя_раздела   ROOTKEY\SubKey (только локальный компьютер)ROOTKEY      [ HKLM | HKCU | HKCR | HKU | HKCC ]SubKey       Полное имя подраздела реестра, в который восстанавливается файлкуста. Замена существующих параметров разделов и подразделов. имя_файла      Имя файла куста, подлежащего восстановлению. Чтобы создатьданный файл, необходимо использовать REG SAVE. /reg:32       Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64       Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos. Restaurar el archivo NTRKBkUp.hiv reemplazando la sección ResKit:

unoREG RESTORE HKLM\Software\Microsoft\ResKit NTRKBkUp.hiv

REG LOAD: carga de un archivo en una sección

Utilizando:

unoREG LOAD <имя_раздела> <имя_файла> [/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce1213имя_раздела    КОРЕНЬ\<подраздел> (только локальный компьютер)КОРЕНЬ       [ HKLM | HKU]подраздел    Имя подраздела реестра, в который загружается файл куста.Создание нового раздела. имя_файла      Имя файла куста, подлежащего загрузке.Чтобы создать данный файл, необходимо использовать REG SAVE. /reg:32     Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64     Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos. Subiendo el archivo TempHive.hiv a la sección HKLM \ TempHive:

unoREG LOAD HKLM\TempHive TempHive.hiv

REG UNLOAD: descarga el subárbol del registro

Utilizando:

unoREG UNLOAD <имя_раздела>

Opciones:

uno23имя_раздела    КОРЕНЬ\<подраздел> (только локальный компьютер)КОРЕНЬ       [ HKLM | HKU]подраздел    Имя подраздела куста, в который выгружается файл.

Ejemplos. Descarga del subárbol de registro TempHive en HKLM:

unoREG UNLOAD HKLM\TempHive

REG COMPARE: comparación de secciones y valores

Utilizando:

uno23REG COMPARE <имя_раздела_1> <имя_раздела_2> [/v <имя_параметра> | /ve][вывод] [/s][/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415dieciséis17Dieciocho19veinte212223242526272829treinta313233343536373839404142имя_раздела      [\\<компьютер>\]<раздел>компьютер      Имя удаленного компьютера, если оно опущено, по умолчаниюиспользуется локальный компьютер. На удаленном компьютереможно использовать только корневые разделы HKLM и HKU.имя_раздела    КОРЕНЬ\<подраздел>Если имя раздела 1 не указано, то имя раздела 2 равно именираздела 1.КОРЕНЬ         [ HKLM | HKCU | HKCR | HKU | HKCC ]подраздел      Полное имя подраздела реестра в одном из выбранных корневыхразделов. имя_параметра    Имя параметра в выбранном разделе, подлежащее сравнению.Если опущено, то сравниваются все параметры в разделе. /ve              Сравнение параметров раздела с пустым именем (по умолчанию). /s               Сравнение всех подразделов и параметров. /reg:32    Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64    Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений. Вывод            [/oa | /od | /os | /on]Если опущен, то выводятся только различия./oa            Вывод всех различий и совпадений./od            Вывод только различий./os            Вывод только совпадений./on            Без вывода. Код возврата: 0 - Успешно, сравниваемые данные идентичны1 - При обработке произошла ошибка2 - Успешно, сравниваемые данные отличаются Примечание:Символы в начале каждой строки читаются следующим образом:= данные FullKey1 равны данным FullKey2< относится к данным FullKey1, если они отличаются от данных FullKey2> относится к данным FullKey2, если они отличаются от данных FullKey1

Ejemplos:

Compara todos los valores en la sección MyApp con los valores en la sección SaveMyApp:

unoREG COMPARE HKLM\Software\MyCo\MyApp HKLM\Software\MyCo\SaveMyApp

Compara los valores de Versión en las secciones MyCo y MyCo1:

unoREG COMPARE HKLM\Software\MyCo HKLM\Software\MyCo1 /v Version

Compara todas las subclaves y valores de parámetros en la clave de registro HKLM \ Software \ MyCo en la computadora ZODIAC con la misma clave en la computadora actual:

unoREG COMPARE \\ZODIAC\HKLM\Software\MyCo \\. /s

REG EXPORT – exportación de todas las subsecciones y parámetros de una sección

Utilizando:

unoREG EXPORT <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12131415имя_раздела    КОРЕНЬ\<подраздел> (только локальный компьютер).КОРЕНЬ       [ HKLM | HKCU | HKCR | HKU | HKCC ]подраздел    Полное имя подраздела реестра в одном из выбранных корневыхразделов. имя_файла      Имя диска, на который экспортируется файл /y             Выполнение замены существующего файла без запросаподтверждения. /reg:32  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplo. Exporte todas las subsecciones y parámetros de la sección MyApp al archivo AppBkUp.reg:

unoREG EXPORT HKLM\Software\MyCo\MyApp AppBkUp.reg

REG IMPORT – importar entradas de registro desde un archivo

Utilizando:

unoREG IMPORT <имя_файла> [/reg:32 | /reg:64]

Opciones:

uno2345678имя_файла    Имя диска, с которого импортируется файл(только локальный компьютер). /reg:32   Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64   Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplo. Importación de entradas de registro desde el archivo AppBkUp.reg:

unoREG IMPORT AppBkUp.reg

REG FLAGS: muestra y establece las banderas actuales de la sección

Utilizando:

uno23REG FLAGS имя_раздела [QUERY |SET [DONT_VIRTUALIZE] [DONT_SILENT_FAIL] [RECURSE_FLAG]][/reg:32 | /reg:64]

Opciones:

uno2345678nuevediezonce12имя_раздела    "HKLM\Software"[\подраздел] (ограничено этими разделамитолько на локальном компьютере).Подраздел   Полное имя раздела реестра в узле HKLM\Software.DONT_VIRTUALIZE DONT_SILENT_FAIL RECURSE_FLAGИспользуется вместе с параметром SET; флаги, указанные в командной строке,будут установлены, не указанные — удалены. /reg:32  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 32-разрядных приложений. /reg:64  Указывает, что к разделу реестра следует обращаться с помощьюпредставления для 64-разрядных приложений.

Ejemplos:

Muestra las banderas actuales para la sección MyApp:

unoREG FLAGS HKLM\Software\MyCo\MyApp QUERY

Establece el indicador DONT_VIRTUALIZE (y elimina los indicadores DONT_SILENT_FAIL y RECURSE_FLAG) para la sección MyApp y todas sus subsecciones:

unoREG FLAGS HKLM\Software\MyCo\MyApp SET DONT_VIRTUALIZE /s

Programas para extraer información del registro de Windows

mimikatz

El programa mimikatz tiene muchas funciones relacionadas con la seguridad de Windows y contraseñas almacenadas. Entre otras cosas, el programa puede extraer contraseñas, secretos y hashes tanto del sistema en el que se ejecuta como de los archivos guardados de las colmenas del registro.

Análisis del registro de Windows 1

Instrucciones:

  • Cómo descifrar la contraseña de Windows
  • Descifrar las contraseñas almacenadas de Windows usando mimikatz y DPAPI
  • Ataque pass-the-hash (cómo usar NTLM sin descifrar una contraseña)

A partir de los hash recibidos, se puede descifrar la contraseña del usuario.

Análisis del registro de Windows 1

RegRippy (regrip.py)

RegRippy es una plataforma para leer y extraer cargas útiles forenses de las colmenas del registro de Windows.

Instalación en Kali Linux

uno2sudo apt install python3-pipsudo pip3 install regrippy

Instalación en BlackArch

uno2sudo pacman -R regrippy python-enum-compat python-python-registry python-unicodecsvsudo pip3 install regrippy

Este programa también se puede instalar en Windows, detalles aquí .

Un ejemplo de un comando que obtiene el nombre de la computadora (compname) que posee el subárbol del registro ubicado en la ruta / mnt / disk_d / Share / config / SYSTEM (–system / mnt / disk_d / Share / config / SYSTEM) :

unoregrip.py compname --system /mnt/disk_d/Share/config/SYSTEM

Ejemplo de salida:

unoHACKWARE-MIAL

Un ejemplo de un comando que muestra información sobre el último usuario que inició sesión (lastloggedon) usando el subárbol de registro SOFTWARE (–software / mnt / disk_d / Share / config / SOFTWARE) :

unoregrip.py lastloggedon --software /mnt/disk_d/Share/config/SOFTWARE

Ejemplo de salida:

uno23LastLoggedOnSAMUser      .\MiAlLastLoggedOnUser     .\MiAlLastLoggedOnUserSID      S-1-5-21-1461214404-118510055-3688602372-1001

RegRipper

RegRipper es una herramienta de código abierto escrita en Perl para extraer / analizar información (claves, valores, datos) del registro y presentarla para su análisis.

RegRipper consta de dos herramientas principales, cada una de las cuales proporciona capacidades similares. La interfaz gráfica de RegRipper permite al analista seleccionar una colmena de registro para su análisis, un archivo de salida para los resultados y un perfil (lista de complementos) para trabajar con la colmena. Cuando el analista ejecuta la herramienta contra el subárbol del registro, los resultados van al archivo especificado por el analista.

 Si el analista decide analizar el subárbol del sistema, también puede enviar los resultados a system.txt. La herramienta GUI también creará un registro de su actividad en el mismo directorio que el archivo de salida utilizando el mismo nombre de archivo pero con una extensión .log (es decir, si la salida se escribe en system.txt, el registro se escribirá en system. Iniciar sesión).

RegRipper también incluye una herramienta de línea de comandos (CLI) llamada rip. Rip se puede dirigir para analizar una colmena y puede ejecutar un perfil (lista de complementos) o un complemento separado para esa colmena, enviando los resultados a STDOUT. Rip se puede incluir en archivos por lotes utilizando operadores de redirección para enviar la salida a un archivo. Rip no mantiene un registro de sus actividades.

Instalación y ejecución en Linux

Descargue los archivos requeridos:

uno2git clone https://github.com/keydet89/RegRipper3.0cd RegRipper3.0

Wine es más fácil de ejecutar, así que comience por instalarlo.

Entonces corre:

unowine rr.exe

Instalación en Windows

Descargue y descomprima el archivo desde el enlace: https://github.com/keydet89/RegRipper3.0/archive/master.zip

Para abrir la GUI, haga doble clic en el archivo rr.exe .

Si desea utilizar la utilidad de línea de comandos, abra PowerShell o CMD , vaya a la carpeta con el archivo descomprimido y ejecute el archivo

unorip.exe

Ejecutando un programa GUI en Linux:

unowine rr.exe

Seleccione la rama del registro para el análisis y el nombre del archivo para guardar el informe.

Análisis del registro de Windows 1

Luego haga clic en el botón Rip! «.

Espere la finalización del trabajo.

Análisis del registro de Windows 1

Abra el archivo del informe.

Análisis del registro de Windows 1

Explorador del registro

Registry Explorer es una herramienta basada en GUI que se utiliza para ver el contenido de las secciones del registro sin conexión. Puede cargar varias colmenas a la vez, buscar todas las colmenas cargadas usando cadenas o expresiones regulares, exportar datos, puede marcar selecciones, guardar cambios en un proyecto y mucho más.

Instalación del Explorador del Registro en Windows

El programa está diseñado para funcionar en Windows y requiere un entorno completo de Microsoft .net framework versión 4.6 o superior (puedes descargarlo desde el enlace https://www.microsoft.com/en-us/download/details.aspx?id=49982 ).

Descargue el archivo » Registry Explorer / RECmd » de la página https://ericzimmerman.github.io/ . Descomprímelo en cualquier carpeta, el programa es portátil y no requiere instalación.

Haga doble clic en el archivo RegistryExplorer.exe para iniciar la GUI .

Análisis del registro de Windows 1
Análisis del registro de Windows 1
Análisis del registro de Windows 1

creddump

creddump es una herramienta de Python para extraer varias credenciales y secretos de las colmenas del registro de Windows. Actualmente recupera:

  • Hashes LM y NT (protegidos por SYSKEY)
  • Contraseñas en caché de dominio
  • Secretos de LSA

El programa está preinstalado en Kali Linux.

Instalación en BlackArch:

unosudo pacman -S creddump

Un ejemplo de un comando que muestra hashes de contraseñas locales, las secciones del registro se encuentran en los archivos / mnt / disk_d / Share / config / SYSTEM y / mnt / disk_d / Share / config / SAM :

unopython2 ./pwdump.py /mnt/disk_d/Share/config/SYSTEM /mnt/disk_d/Share/config/SAM

Ejemplo de salida:

uno23456Администратор:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Гость:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::MiAl:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Tester:1002:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

regipy

Regipy es una biblioteca de Python para analizar colmenas de registro sin conexión.

El programa puede:

  • Volcar toda la colmena del registro a json
  • Complete las transacciones en la colmena del registro de acuerdo con los registros
  • Comparar las colmenas del registro
  • Extrae información usando complementos

Instalación en Kali Linux

uno2sudo apt install python3-pipsudo pip3 install regipy

Instalación en BlackArch

unosudo pacman -S regipy

Ejecute complementos para extraer información del subárbol SYSTEM y guarde los resultados en el archivo plugins_output.json:

unoregistry-plugins-run ~/Documents/TestEvidence/Registry/SYSTEM -o /tmp/plugins_output.json

El tipo de arbusto se detectará automáticamente y se iniciarán los complementos correspondientes.

chntpw

chntpw  : este pequeño programa le permite ver información y cambiar las contraseñas de los usuarios en el archivo de la base de datos de usuarios de Windows NT / 2000. No es necesario que conozca las contraseñas antiguas, ya que se sobrescribirán. Además, también contiene un editor de registro simple (escribir datos del mismo tamaño) y un editor hexadecimal que le permite jugar con los bits y bytes del archivo como desee.

Análisis del registro de Windows 1
Análisis del registro de Windows 1

Instalación de chntpw

El programa está preinstalado en Kali Linux.

Instalación en BlackArch

unosudo pacman -S chntpw

Ejemplos de comandos:

Restablecimiento de la contraseña de usuario de ShareOverlord (-u ShareOverlord) cuando el subárbol del registro se encuentra en / mnt / windows / Windows / System32 / config / SAM :

unosudo /usr/sbin/chntpw /mnt/windows/Windows/System32/config/SAM -u ShareOverlord
Análisis del registro de Windows 1

Desbloquear administrador de usuario:

unosudo /usr/sbin/chntpw /mnt/windows/Windows/System32/config/SAM -u Администратор

Utilidades de registro de NirSoft

Para obtener detalles sobre los programas de este autor, consulte el artículo » Utilidades de NirSoft para extraer información de Windows «, para trabajar con el registro, preste atención a utilidades como:

  • RegScanner
  • OfflineRegistryFinder
  • OfflineRegistryView
  • RegistryChangesView
  • RegFromApp
  • RegDllView
  • ActiveXHelper
  • RegFileExport

Recuperación de secciones del registro de Windows de máquinas virtuales

Con la utilidad virt-win-reg incluida en el paquete libguestfs , puede extraer las secciones del registro de Windows directamente desde discos virtuales sin siquiera iniciar las máquinas virtuales. Para obtener detalles sobre libguestfs, consulte Acceso y modificación del contenido de imagen de la máquina virtual .

El programa  virt-win-reg puede extraer arbustos del Registro de Windows, incluidos aquellos que están disponibles solo para la cuenta del Sistema.

Vista general del equipo:

unovirt-win-reg '/ПУТЬ/ДО/ВИРТУАЛЬНОГО/ДИСКА' 'ИМЯ\КУСТА'

De forma predeterminada, el contenido se mostrará en la pantalla, por lo que debe utilizar la redirección de salida para guardar los datos en un archivo.

Por ejemplo, el comando para extraer la colmena HKEY_LOCAL_MACHINE \ SYSTEM del sistema operativo Windows, cuyo disco virtual se encuentra en / mnt / disk_d / Virtual machines / Windows 10 (en) .vdi y guardar los datos resultantes en el archivo SYSTEM.reg :

unovirt-win-reg '/mnt/disk_d/Виртуальные машины/Windows 10 (en).vdi' 'HKEY_LOCAL_MACHINE\SYSTEM' > SYSTEM.reg

Otro ejemplo, extrayendo el subárbol de registro HKEY_LOCAL_MACHINE \ SAM de la imagen de disco / mnt / disk_d / Virtual machines / Windows Server 2019.vdi y guardando los datos en el archivo SAM.reg :

unovirt-win-reg '/mnt/disk_d/Виртуальные машины/Windows Server 2019.vdi' 'HKEY_LOCAL_MACHINE\SAM' > SAM.reg

winregfs

El programa winregfs monta el registro de Windows en el sistema de archivos. Esto le permite navegar por la jerarquía de claves como carpetas normales, y los valores se pueden editar como archivos de texto normales.

También se incluye una herramienta llamada «fsck.winregfs» que realiza comprobaciones básicas de integridad en el subárbol del registro.

Instalación en Kali Linux

unosudo apt install winregfs

Instalación en BlackArch

unosudo pacman -S winregfs

Para usar winregfs, cree un directorio de montaje y apúntelo al subárbol de registro de interés:

uno2mkdir /tmp/regmount.winregfs /mnt/disk_d/Share/config/SOFTWARE /tmp/reg

Ahora puede ver todo en esta colmena en el directorio » / tmp / reg «:

unols /tmp/reg

Supongamos que desea ver programas que se inician automáticamente cuando enciende su computadora.

unols -l /tmp/reg/Microsoft/Windows/CurrentVersion/Run

Quieres ver qué contienen estos valores.

unofor X in /tmp/reg/Microsoft/Windows/CurrentVersion/Run/*; do echo -en "$X\n "; cat "$X"; echo; done

libregf

Programa libregf análogo winregfs , lo que significa que instala el registro de Windows en el sistema de archivos. Esto le permite navegar por la jerarquía de claves como carpetas normales, y los valores se pueden editar como archivos de texto normales.

Instalación en Kali Linux

unosudo apt install libregf-utils

Instalación en BlackArch

uno2345678sudo pacman -S git autoconf automake libtool pkg-configgit clone https://github.com/libyal/libregfcd libregf/./synclibs.sh./autogen.sh./configuremakesudo make install

Para montar el archivo REGF (subárbol de registro de Windows) / mnt / disk_d / Share / config / SOFTWARE en el directorio / tmp / reg :

uno2mkdir /tmp/regregfmount /mnt/disk_d/Share/config/SOFTWARE /tmp/reg

Este comando abrirá directorios y archivos que contienen los elementos contenidos en el archivo REGF.

Ahora puede ver todo en esta colmena en el directorio » / tmp / reg «:

unols /tmp/reg

Supongamos que desea ver programas que se inician automáticamente cuando enciende su computadora.

unols -l '/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/'

Quieres ver qué contienen estos valores.

unofor X in '/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/'*; do echo -en "$X\n "; cat "$X"; echo; done

A %d blogueros les gusta esto: