MANUAL DE EDICIÓN DEL REGISTRO DE WINDOWS

• Introduccion
• Mediante el uso del Editor del Registro de Windows
• Mediante el uso de archivos .reg
• Mediante el uso de la consola del sistema (cmd.exe)
• Mediante el uso de programas útiles para Editar el Registro

El Registro de Windows es la base de datos donde se guarda información sobre el sistema como comportamiento, configuración, aplicaciones, perfiles de usuarios y hardware instalados, entre otras cosas. Microsoft lo describe en este enlace
de la siguiente manera:


El uso del registro puede sernos de gran utilidad y su conocimiento nos dará más control sobre lo que en nuestra PC está sucediendo, ya que a partir de él, podemos modificar todas aquellas variables que influyen en su funcionamiento.
Por ejemplo, en él podemos modificar los archivos que se inician al prender nuestra màquina, ya que las aplicaciones que se ejecutan en la PC se encuentran reflejadas en las siguientes claves:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
En esta clave se verán reflejados los archivos del sistema que se inician al prender la PC.

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
En esta clave se verán reflejados las aplicaciones y DLLs creadas a partir de programas que instalemos en la PC, las cuales se inician al prender la PC.

Eliminar una aplicación en alguna de estas claves, evitaría que dicha aplicación se inicie con el sistema.


El registro de Windows (como es de suponerse) es bastante denso. Debido a esto, el explicar cada una de las subclaves del mismo sería un trabajo demasiado extenso. Aquí lo que trataremos de dar es una noción bastante global sobre el registro y cómo editarlo.



El registro està conformado básicamente por cinco claves principales, como podemos verlo en el Editor de Registro de Windows, las cuales están descritas por Microsoft de la siguiente manera:

• HKEY_CLASSES_ROOT: La información que se almacena aquí garantiza que cuando abra una carpeta mediante el Explorador de Windows, se abrirá el programa correcto. Es una subclave de HKEY_LOCAL_MACHINE\Software. Esta clave a veces aparece abreviada como "HKCR”.
• HKEY_CURRENT_USER: Contiene la raíz de la información de configuración del usuario que ha iniciado sesión. Las carpetas del usuario, los colores de la pantalla y la configuración del Panel de Control se almacenan aquí. Esta información está asociada al perfil del usuario. Esta clave a veces aparece abreviada como "HKCU".
• HKEY_LOCAL_MACHINE: Contiene información de configuración específica del equipo (para cualquier usuario). Esta clave a veces aparece abreviada como "HKLM".
• HKEY_USER: Contiene todos los perfiles de usuario cargados activamente en el equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS. HKEY_USERS puede aparecer abreviada como "HKU".
• HKEY_CURRENT_CONFIG: Contiene información acerca del perfil de hardware que utiliza el equipo local cuando se inicia el sistema.

La estructura del registro en versiones anteriores a Windows 2000, presentaban ademas de las claves ya descritas, una clave extra la cual se describe de la siguiente manera:

• HKEY_DYN_DATA: Hay configuraciones realizadas por windows que deben almacenarse en la memoria ram debido a la necesidad de que dicha información sea actualizada y accesible lo mas rápido posible, por lo que no se puede esperar que dichas configuraciones sean enviadas a disco mediante el registro, el HKEY_DYN_DATA almacena esta información, de esta forma, podrías ver esta clave como una copia de cierta información almacenada en la ram.

En los siguientes enlaces encontrarà informaciòn de interès sobre el tema:

• microsoft.com-Cómo realizar una copia de seguridad, modificar y restaurar el Registro
  
• microsoft.com- Definición del Registro de Microsoft Windows
  
• microsoft.com- Uso de los archivo de entradas de registro (.reg)
  
• erwin.ried.cl
  
• forospyware.com- Trucos para que Windows XP sea mas rápido
• forospyware.com- Registro de Windows

Ya teniendo noción sobre lo que es el registro de Windows, ahora se explicará cómo proceder para editarlo, ya que en muchos casos nos veremos en la necesidad de editar, o borrar claves en el registro que hayan sido creadas por algún malware.


Para editar el Registro, Windows cuenta con dos aplicaciones (regedit.exe y regedt32.exe), las cuales funcionan como Editor del Registro de Windows. A pesar de poder editar el registro con ambas aplicaciones, cada una de ellas posee su función, y tienen sus diferencias. Estas diferencias eran más marcadas en las versiones de Windows anteriores a XP. Cada editor puede ser definido de la siguiente manera:
regedt32 es el editor de registro original. Fue creado para las distribuciones Windows NT 3.1, 3.5 y 3.51. Su funcion es manipular claves y valores del registro de Windows NT y tiene el estilo visual y estándares del diseño de Microsoft de cuando fue creado (mediados de 1992)
Tiene diferencias bastantes marcadas en cuanto al uso e interfaz en comparación con regedit. Las características de uso del regedt32 en comparación con regedit son las siguientes:

► Permite la visualización y el cambio de ACL (Access Control List) de seguridad en las claves del Registro.

► Permite activar la auditorìa en las claves de tal forma que uno pueda averiguar quién ha intentado -o ha conseguido- eliminar, añadir o editar las claves o sus entradas.

► Soporta todos los tipos de datos de registro ademas, permite editar el valor de un tipo utilizando otro editor de tipos (muy útil cuando se editan valores REG_BINARY).

► Posee un modo de sólo lectura que permite inspeccionar el Registro sin realizar cambios.

► Puede cargar o guardar archivos de sección o claves individuales.

► Utiliza el paradigma de la interfaz de documentos múltiples (Múltiple Document Interface, MDI), en el que cada clave raíz tiene su propia ventana.

Su interfaz luce de la siguiente manera:
regedit, fue creado cuando se desarrollaba Windows 95. La razón de su creación fue que la interfaz que poseía regedt32, a Windows no le parecía adecuada para su nueva distribuciòn (Windows 95). Ademàs de esto, las diferencias estructurales entre los registros anteriores a esta versión y la de Windows 95, hicieron necesario la creación de una herramienta complementaria, la cual es regedit.
Las características principales del regedit son:


► Para una cadena específica, busca claves, nombres de valores y entradas. Esta funcionalidad no tiene precio y es la primera razón para utilizar Regedit.

► Utiliza el familiar interfaz de dos paneles del Explorador de Windows, facilitando la comparación de las ubicaciones de dos claves o valores. También incluye otras características típicas del Explorador de Windows, como menús contextuales, edición in situ y el también familiar control en árbol.

► Importa y exporta claves seleccionadas (y sus elementos subordinados) en un archivo de texto legible para los humanos, en lugar de importar y exportar las claves del Registro en un formato binario.

► Incluye un menú de favoritos (en la versión de Windows 2000), al que se pueden añadir las claves que se editen repetidamente.

Su interfaz es la siguiente:
En Windows XP el regedt32 obtuvo la apariencia del regedit, principalmente porque la interfaz que poseía no era acorde visualmente con esa versión de Windows, y algunas limitaciones que poseía el regedit fueron eliminadas pudiéndose así ahora editar y crear permisos con èl, pero se mantiene la existencia de dos editores porque el regedt32 sigue siendo la aplicación capaz de realizar ediciones a datos de tipo REG_SZ y REG_MULTI_SZ, cosa que con el regedit no se puede.


Para acceder al Editor de Registro se debe ingresar a Inicio-Ejecutar y escribir el comando (bien sea regedit o regedt32)
Al acceder al Editor de Registro de Windows, encontraremos una ventana como la siguiente (ambos editores poseen la misma interfaz):


En ella se encuentran 2 paneles: el panel izquierdo, donde se encuentran las claves y subclaves que conforman el Registro, y el panel derecho, donde se encuentran los datos y valores de la subclave seleccionada.

Editar el Registro de forma manual, se limita de forma práctica a editar o cambiar valores, y eliminar valores o claves innecesarias, ya que el usuario común en ningún momento se verá en la necesidad de crear una clave en el registro.

En caso de necesitar crear un valor específico en una clave solo debemos dirigirnos a la clave donde deseamos crear el valor, luego hacer clic en un espacio en blanco del panel derecho del regedit una vez allí saldrá el menú contextual mostrando las siguientes opciones:


Elegimos la opción referente al tipo de valor que vayamos a agregar, (recordando que la información que el valor va a llevar debe ser compatible con el tipo de valor, mas adelante se mostrara una lista de los tipos de valores y datos) en este caso un valor DWORD, luego veremos lo siguiente:


Ahora hacemos clic derecho sobre el valor y luego clic en la opción modificar, una vez hecho esto veremos esta ventana:


Ahora procedemos a modificar el valor colocándole el nombre y la información de valor que deseamos.

Para eliminar claves en el registro, simplemente buscamos la clave que deseamos borrar (sabiendo de antemano su ruta), hacemos clic derecho sobre ésta y seguidamente elegimos Eliminar. Si no sabemos la ubicación de esta subclave y sólo sabemos el nombre, nos dirigimos a Edición-Buscar y hacemos clic sobre la opción Buscar, en la cual se nos mostrará la siguiente ventana:

En la casilla Buscar colocamos el nombre de lo que deseamos buscar y seleccionamos o deseleccionamos las opciones mostradas, dependiendo si es un valor, un dato o una clave lo que deseamos buscar. También podemos buscar la ruta completa si la conocemos y no deseamos navegar a través de las subclaves para buscarla.
Para editar o eliminar un valor o dato del registro en una clave, nos dirigimos a dicha clave, luego hacemos clic sobre ésta, ahora nos dirigimos al panel derecho y buscamos el dato, y haciendo clic derecho, procedemos a editar o eliminar, según sea lo que deseemos realizar.

Además de estas funciones, el editor de registro de Windows, puede realizar copias de claves del registro exportándolas en archivos de extensión .reg, esto se realiza dirigiéndonos, al menú Archivo-exportar… luego nos saldrá una ventana donde elegimos donde queremos guardar el archivo y una casilla en la parte inferior llamada intervalo de exportación
En la que debemos elegir la casilla Todos si la exportación será de todas las claves del registro, o la opción Rama Seleccionada para una rama en especifico, si la exportación será de una rama o grupo de datos en el registro en especifico también podríamos sombrear (haciendo clic y manteniéndolo sostenido, luego movemos el mouse para sombrear lo que deseemos) los datos que deseemos y nos dirigimos a la casilla Exportar... y automáticamente estarán preseleccionados los datos previamente sombreados.

En muchos casos, usar el Editor del Registro de Windows no es una opción factible, o posible, como por ejemplo, que este haya sido bloqueado por la acción de un malware (de ser asi podriamos usar la herramienta RegUnlocker la cual es una herramienta creada por el Staff para ese problema en especifico, o realizar los pasos indicados en este post ), o que sea necesario borrar o editar varias claves de Windows, por lo que la edición individual de cada uno de ellos sería algo tedioso. Para estos casos se pueden crear y utilizar archivos para editar el registro. Para ello, Abrimos un Bloc de Notas y copiamos y pegamos un texto con la siguiente estructura dentro de ellos:


En donde:
versiónEditorRegistro: es el encabezado de la plantilla, en la cual se coloca “REGEDIT4" para cualquier versión de Windows y " Windows Registry Editor Version 5.00 " para las versiones 2000, XP y Server 2003 de Windows.

rutaRegistro: es la ruta que contiene la subclave que se desea editar (borrar, anexar o simplemente, cambiar algún valor de ella).

nombreDato: es el nombre del dato que se desea editar en la subclave anteriormente colocada.

tipoDatos: es el tipo de dato como su nombre indica. Para tipos de datos distintos a REG_SZ, se pone el signo dos puntos ( ":" ), que viene inmediatamente después del tipo de dato.
Los tipos de datos pueden ser:


Para los archivos .reg los valores sólo pueden ser los siguientes:


valorDatos: es el valor del dato. Sigue inmediatamente después del signo dos puntos ( ":" ) y debe de estar en el formato adecuado (por ejemplo, cadena o hexadecimal).
Luego estando dentro del Bloc nos vamos al menù archivo-guardar como.. elegimos un nombre al archivo y le agregamos la extensión .reg, por ejemplo RegFix.reg, luego presionamos el botón Guardar.
Cabe destacar que se debe dejar una línea en blanco entre subclaves para que el archivo reconozca que se está editando una clave nueva, y que a una misma ruta se le pueden agregar y/o editar varios datos. Pero se crean subclaves en una misma ruta sólo de una en una, respetando la jerarquía de la ruta. Por ejemplo, si se desea crear la siguiente subclave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Infospyware\Forospyware

pero no existe la subclave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Infospyware

debe crearse ésta primero, y seguidamente, crear la otra clave dentro de ella de esta manera:


Para dar un ejemplo de cómo agregar una clave al registro, podemos hacer lo siguiente:
Copiar en un bloc de notas lo siguiente:

Guardamos el archivo colocando al final del nombre “.reg” y procedemos a hacer doble clic sobre el archivo. Seguidamente se nos preguntará si deseamos hacer el cambio en el registro. Le damos a Aceptar y después saldrá una ventana diciéndonos que se agregado la información en el Registro. De esta manera, estamos creando una nueva subclave llamada “Infospyware” en la ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion

Si entramos al regedit en este momento y buscamos la ruta veremos una subclave llamada Infospyware.


Para eliminar una subclave basta con colocar el signo menos (-) antes de la ruta y después del corchete, de esta manera:
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Infospyware]

Quedándonos de la siguiente manera en el bloc de notas:
Guardamos el archivo y luego hacemos doble clic sobre el mismo. Ahora hemos borrado la subclave Infospyware dentro de la ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion

Para eliminar datos, basta con colocar un signo menos (-) después de el signo igual (=) al final del dato.
Para hacer un ejemplo, hagamos lo siguiente:
Abrimos un bloc de notas y copiamos lo siguiente:

Guardamos el archivo .reg y luego hacemos doble clic sobre el mismo. De esta manera hemos creado un nuevo dato llamado Forospyware dentro de la ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Infospyware


Ahora, para borrar el dato, lo que tendríamos que hacer es colocar un guión (-) después del signo igual, de la siguiente manera:
"forospyware"=-
Quedándonos el archivo .reg así:
Luego, guardamos y hacemos doble clic sobre el archivo. De esta forma hemos borrado el dato del registro.

En caso de encontrarnos con claves rebeldes en el registro, procederiamos a eliminarlas mediante el uso de utilidades como RegASSASSIN

El siguiente enlace posee una colección de archivos .reg bastante variada para corregir varios problemas debidos a modificaciones en el Registro.

__________________
Linux User Registered #453948
Ubuntu User #20783

El registro puede editarse también mediante el uso de la consola o símbolo del sistema. Para realizar esto debemos acceder a ella entrando a inicio-ejecutar, teclear cmd y luego aceptar si poseemos Windows 2000 o XP, o teclear command en ejecutar si poseemos Windows 98/95. En todos las versiones de windows tambien se puede acceder a la consola iniciando la PC en modo símbolo del sistema lo cual se hace tecleando F8 al iniciar la pc y luego eligiendo la opcion modo simbolo del sistema.

Una vez en la consola del sistema tendremos a nuestra disposición comandos mediante los cuales realizaremos las ediciones del registro.

Los comandos son los siguientes:
► Reg add: sirve para agregar información en el registro. La información se debe agregar siguiendo este patrón: reg add clave, donde “clave” es la clave que deseas crear en el registro. Este comando cuenta con modificadores para realizar diferentes ediciones en la clave que se desea agregar. Los modificadores se agregan dejando un espacio después de la clave seguido del signo /.

Los modificadores son los siguientes:

/v: este modificador es para agregar nombre al valor de la clave que se desea agregar. Si se usa este modificador la clave que se crea tendrá 2 valores: el predeterminado y el que acabamos de crear.
Por ejemplo: si colocamos el siguiente comando
Reg add HKCC\Forospyware /v info
podremos ver que se ha creado la subclave Forospyware en la clave HKEY_CURRENT_CONFIG, dentro de la cual se encuentran el valor predeterminado y el valor info que acabamos de agregar.

Los valores agregados mediante este modificador son de tipo RG_SZ de modo predeterminado

/t: especifica el tipo de dato de la clave que se esta agregando, los cuales pueden ser:
REG_SZ, RED_DWORD, REG_NONE, RE_MULTI_SZ, REG_BINARY, REG_EXPAND_SZ, REG_DWORD_BIG_ENDIAN, REG_DWORD_LITTLE_ENDIAN
Si no se especifica algún tipo en concreto, el dato es de tipo REG_SZ de modo predeterminado como ya se indicò.

/s: especifica el carácter que se usa como separador en la cadena de dato para un tipo de dato REG_MULTI_SZ. si no se especifica valor, el carácter separador sera “\0” de forma predeterminada.

/d: es el modificador para especificar el valor del dato que se està asignando a la clave.

/f: este modificador se usa si la entrada del registro ya existe y se desea modificar. Con él la clave que se este agregando, se edita colocando la información nueva.

► Reg query: se usa para consultar una clave del registro en específico. Este comando posee los siguientes modificadores:

/v: consulta la clave especificada, por ejemplo si tecleamos el siguiente comando:
Reg query hkcc\software\fonts /v logpixels
tendríamos la información del valor “logpixels” dentro de la clave hkcc\software\fonts, así como también la información que nos indica què tipo de dato contiene y su valor de dato.

/ve: consulta el valor predeterminado del dato especificado

/s: consulta todas la subclaves y valores

► Reg delete: este comando sirve para eliminar claves y valores del registro. Sus modificadores son:

/ve: elimina el valor predeterminado de la clave

/va: elimina todos los valores de dicha clave

/f: se usa en conjunto con alguno de los modificadores anteriores y sirve para forzar la eliminación sin que se nos consulte si deseamos o no realizarla.

► Reg copy: sirve para copiar datos de una clave en otra clave. La forma del comando debe ser la siguiente:
Reg copy clave_1 clave_2
Donde clave_1 es la clave que se desea copiar y clave_2 es en la que se desea la copia. Este comando posee los siguientes modificadores:

/s: copia todas las subclaves y valores de la Clave_1 a la Clave_2

/f: fuerza la copia sin que se nos avise

► Reg save: este comando sirve para realizar una copia del registro, la cual se guardarà en la carpeta actual desde donde se estè ejecutando el comando. Como podemos darnos cuenta al ejecutar la consola del sistema, nos encontramos con esta entrada, desde la cual escribimos los comandos inicialmente:
C:\Documents and Settings\Personal
Esto significa que nos encontramos en esa carpeta en el msdos. Si ejecutamos el comando reg save la copia del registro aparecerá en esa carpeta. Este comando se debe ejecutar siguiendo este formato:
Reg save Clave nombre_de_copia.extension
Por ejemplo
Reg save hklm\software copia.hiv
De esta manera, se guardarà una copia del la clave HKLM\software. La copia debe crearse con extensión .hiv para que pueda ser valida para su uso con el comando reg restore o reg load.


► Reg restore: sirve para escribir copias de claves previamente creadas con el comando reg save. El formato del mismo debe ser de la siguiente manera:
Reg restore Clave Nombre_de_copia.hiv
Por ejemplo:
Reg restore hklm\software copia.hiv


► Reg load: su funciòn es parecida a la de reg restore la cual es cargar claves en el registro desde archivos .hiv previamente creados con el comando reg save.


► Reg unload: elimina una secciòn del registro que haya sido cargada con el comando reg load.


► Reg compare: sirve para comparar claves entre sì. El formato debe ser el siguiente:
reg compare clave_1 clave_2


► Reg export: se usa para exportar valores del registro en archivos .reg. Su formato debe ser el siguiente
reg export Clave_a_exportar nombre_archivo.reg


► Reg import: se usa para importar claves hacia el registro desde archivos .reg el formato debe ser el siguiente reg import Archivo.reg


Si se desea realizar una modificación a un equipo remoto colocado en red, sòlo se debe colocar el nombre del equipo antes de la clave y después del comando:
Tipo_de_comando \\nombre_equipo\Clave
Las modificaciones a equipos remotos sòlo se pueden realizar a las claves HKEY_LOCAL_MACHINE y HKEY_USERS.

Las versiones 98 y ME de Windows cuentan con un comando para corregir errores y restaurar copias del registro, las cuales va creando automáticamente de forma predeterminada. Este comando es scanreg el cual cuenta con los siguientes modificadores:

/backup sirve para realizar una copia del registro

/restore este modificador es para seleccionar una copia del registro que se desee restaurar

/fix con este comando se realizarà un análisis del registro, en el cual si se encuentran errores estos serán corregidos.

Es importante indicar que cuando se desee conocer alguna información sobre algún comando del Msdos, sòlo se debe ejecutar el nombre del comando seguido del modificador /? .
Por ejemplo: reg add /?
Si lo ejecutamos aparecerá información sobre el comando reg add.entradas que ya no son necesarias, por ejemplo, entradas remanentes de programas que han sido desintalados de la PC.

__________________
Linux User Registered #453948
Ubuntu User #20783

El Registro de Windows puede ser editado mediante el uso de programas creados para limpiar el registro de entradas que ya no son necesarias, por ejemplo, entradas remanentes de programas que han sido desintalados de la PC.
Para ver una lista de estos programas pueden entrar en este tema realizado por Heavyman
Herramientas para el registro.






Antes de modificar el registro es necesario hacer un punto de restauración Si se está realizando una limpieza del PC y es necesario eliminar los puntos de restauración (vaciar la carpeta System Volume Information), se puede usar la herramienta Erunt 1.1j para crear una copia de seguridad en una ubicacion de nuestra eleccion.





Agradecimientos a todo el equipo del Staff de InfoSpyware en especial a Nam y a Hobbit por su ayuda en la realizacion de este articulo

__________________
Linux User Registered #453948
Ubuntu User #20783