El Registro: Herramientas y archivos de las secciones
Aunque hay diversas herramientas para el registro de terceros, sean libres o de probar y comprar, las más comúnmente utilizadas, creo, son:
- El editor del registro
- Herramienta básica y principal.
- Reg.exe
- Herramienta en línea de comandos para el registro, nos permite scripts para el registro en archivos de lotes.
- WinDiff
- Herramienta de las Windows Support Tools.
Archivos de secciones
Con el editor del registro vemos la estructura del registro. Es como Windows nos lo presenta y lo usan los programas, a pesar de cómo lo organiza el sistema operativo en el disco, que es algo más complicado.
Físicamente, Windows organiza el registro en secciones (ramas almacenadas en archivos únicos), cada una es un archivo binario denominado Hive File. Para cada uno de estos, Windows crea archivos adicionales de compatibilidad que contienen copias de seguridad de los datos de la sección. Estas copias permiten al sistema repararla durante la instalación e inicio si hubiese pasado algo malo. Los hives los encontramos sólo en dos llaves raíz: HKLM y HKU (ya que las demás llaves son enlaces dentro de estas dos). Los archivos de las secciones y los archivos de compatibilidad que no pertenezcan a HKU se encuentran en raíz_del_sistema\system32\config. Las de HKU están en los perfiles de usuario.
La correspondencia entre las secciones del registro y el archivo de sección en HKLM es:
HKLM\SAM -----> SAM, SAM.log
HKLM\SECURITY -----> SECURITY, SECURITY.log
HKLM\SOFTWARE -----> Software, Software.log, Software.sav
HKLM\SYSTEM -----> System, System.log, System.sav.
Los .log son transacciones y cambios en la sección, mientras los .sav son una copia del archivo de sección hecho al terminar la fase de modo-texto del programa de instalación de Windows.
La HKLM\HARDWARE es una sección dinámica, Windows crea cada vez el inicio del sistema y por ello no guarda la sección como un archivo de sección al apagar el equipo.
Cada sub-llave en HKU es una sección también, HKU\.DEFAULT por ejemplo cuyo archivo de sección es raíz_del_sistema\system32\config\default.
HKU\SID --> NTUSER.DAT
HKU\SID_Classes –> perfil_usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Cada vez que un usuario inicia sesión en Windows, el sistema usa el perfil predeterminado de usuario para crear un nuevo perfil para el que inicia. El perfil contiene un nuevo NTUSER.DAT, que no es más que la sección de perfil de usuario.
Si queremos ver los perfiles cargados por Windows y el archivo de sección que les corresponde miraremos en HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Esta llave contiene una sub-llave por cada perfil que el sistema haya cargado, antes o ahora, cuyo nombre es el de la sección en HKU y el valor ProfileImagePath es el que contiene la ruta al archivo de sección, que siempre es NTUSER.DAT.