Espero que ya a estas alturas no exista nadie (al menos de BlackHat) que desconozca que es el registro, esa poderosa arma donde se guardan todas las configuraciones del sistema.
Ya en ediciones pasadas se ha hablado del registro, y no solo en la sección de artículos, sino también en la de códigos. Hemos expuesto métodos y formas de quitar un virus, cambiar una configuración u otras cosas mediante el registro. Pero aún así siento que debía escribir este texto, ya que muchos implemente se han limitado a probar las cosas que hemos expuesto, pero no saben realmente como es que funciona el regedit.
Mucho misterio ronda alrededor del registro, que si es peligroso, que si rompe la máquina, y no son falsos estos comentarios, pero muchas veces las personas, en su afán de crear cierto pánico alrededor de un tema, tienden a crear una súper idea o súper mito, el que casi siempre, a medida que pasa el tiempo, contiene más partes de ficción que de verdad.
Este artículo no es para dar un truco en específico (aunque se pudiera dar la oportunidad), ni para enseñar a cambiar valores, sino para dar una idea de cómo está estructurado el registro de Windows, y como saber de forma más exacta, que valores debemos modificar, donde debemos entrar y cosas por el estilo. Es mi objetivo, que después de haberse leído este texto, puedan, en primer lugar, entrar y salir del registro sin temor, y como segundo punto y no menos importante, que sean capaces, por ustedes mismos, de modificar valores, borrar y crear claves para ir viendo como actúa la máquina tras cada modificación.
Lo primero es localizar el registro, el cual no es difícil de abrir si después de hacer clic en la opción ejecutar del menú Inicio, escribimos “regedit”. De todas formas el mismo fin se lograría navegando hasta c:\windows y abriendo el archivo regedit.exe.
Una vez abierto el registro se debe visualizar algo similar a esto:
Vista del registro de Windows. Se puede ver en este caso la clave y valores que se encargan de guardar la dirección electrónica de la persona que en ese momento está utilizando el ordenador.
Como se puede apreciar es una estructura de directorios similar a la de nuestro sistema operativo, a la izquierda tendríamos las carpetas y a la derecha los archivos, solo que aquí no le llamaremos carpetas, sino claves, y el nombre de archivos será suplantado por el de valor.
El registro está compuesto por miles de valores, y cada uno tiene control sobre algo de nuestro sistema, pero por la gran cantidad de valores que tiene el registro y la importancia de estos, los mismos están agrupados por claves.
Antes de adentrarnos más profundo, hay dos cosas que debemos saber.
- Cada clave esta compuesta por caracteres, y estos pueden ser de cualquier tipo, pero los que empiezan con un punto (.), han sido reservados por el sistema y por lo general tienen que ver con las extensiones de los archivos, lo que quiere decir que mejor ni tocarlos.
- Cada Valor tiene “vida” solo dentro de la Clave o SubClave inmediata superior, lo que da marguen para que existan dentro de dos Claves, valores con nombre idéntico y sin nada en común, tanto como así que al afectar uno, el otro no sufre modificación alguna.
Dicho esto, podemos empezar.
Las claves
Cada clave del registro esta inmersa dentro de otra, lo que la convierte en una subclave, pero siempre debe haber un orden superior o lugar por donde empezar. A estas claves les llamaremos claves de nivel superior. Cada una de estas se encarga de almacenar dentro de si a las claves que, aunque no tengan nada en común, generen comportamientos de nuestro ordenador que en algo se relacionen, pero para ver esto mejor veamos el ejemplo:En primer lugar tenemos a la clave de nivel superior HKEY_CLASSES_ROOT. En esta clave superior se almacenará todo lo que tiene que ver con las extensiones de archivos y sus asociaciones. Los que tengan ordenadores un poco lentos, podrán darse cuenta que al entrar en una carpeta todos los archivos son visualizados con el mismo icono, y a medida que se van reconociendo los archivos, Windows les va asignando un icono especifico a cada uno, esto es debido a que por defecto Windows no reconoce los archivos, así que tiene que buscar en el registro a que extensión está asociado cada uno.
La siguiente clave superior que podemos visualizar es HKEY_CURRENT_USER, y es la que se encarga de, según su nombre lo medio da a entender, guardar/cargar todas las modificaciones que el usuario actual está usando. Es en esta clave donde van a parar todas las barrabasadas que cometemos en nuestro sistema, cada programa que instalamos, cada asociación a programas que realizamos, en fin, todo lo que está defino que puede hacer el usuario activo. Es también por esto una de las más usadas para cambiar/quitar/añadir configuraciones distintas en nuestra sesión, y la más usada también por lo s virus, ya que desde aquí se puede extraer datos confidenciales sobre nuestra identidad como pudiera ser el correo electrónico.
Le sigue HKEY_LOCAL_MACHINE, una clave de nivel superior no tan usada, pero si bastante importante. Se encuentra allí todo lo relacionado con el buen funcionamiento de nuestro ordenador. Ubicación de drivers, carpeta de sistema, ubicación por defecto de las instalaciones y demás. Por lo general no debemos entrar aquí a modificar nada, ya que casi nunca esta parte suele salir dañada por el ataque de un virus, a menos que el objetivo del mismo sea modificarnos algunas cosas, lo que nos hará pasar un poco de trabajo, pero nada más.
HKEY_USERS un una clave que a mi entender aporta mucha información, pero no podemos utilizarla para nada más que sea conocer las acciones del usuario. Contiene una estructura bastante similar a HKEY_CURRENT_USER, pero es más enfocada aún al usuario activo. Esta clave de nivel superior guarda datos como las URL visitadas, aplicaciones favoritas y cosas por el estilo.
HKEY_CURRENT_CONFIG es la clave que, de haber hecho yo el registro hubiese eliminado. Ojalá pudiera hablarles de ella, pero en realidad cada vez que entro es porque estoy aburrido. No obstante pienso que por algo se habrá creado, así que mejor no la toquen.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario