CLASE 19

MANUAL DE EDICIN DEL REGISTRO DE WINDOWS

Introduccion
INTRODUCCION
El Registro de Windows es la base de datos donde se guarda
informacin sobre el sistema como comportamiento, configuracin,
aplicaciones, perfiles de usuarios y hardware instalados, entre otras
cosas. Microsoft lo describe en este enlace
de la siguiente manera:
Cita:
Originalmente publicado por Microsoft
Base de datos jerrquica y centralizada que se usa en Microsoft
Windows 9x, Windows CE, Windows NT y Windows 2000 para
almacenar la informacin necesaria para configurar el sistema para
uno o varios usuarios, aplicaciones y dispositivos de hardware.
El Registro contiene informacin que Windows utiliza como referencia
continuamente, por ejemplo, los perfiles de los usuarios, las
aplicaciones instaladas en el equipo y los tipos de documentos que
cada aplicacin puede crear, las configuraciones de las hojas de
propiedades para carpetas y los iconos de aplicaciones, los elementos
de hardware que hay en el sistema y los puertos que se estn
utilizando.
El Registro reemplaza la mayora de los archivos .ini basados en texto
que se utilizan en los archivos de configuracin de Windows 3.x y MSDOS, por ejemplo, Autoexec.bat y Config.sys. Aunque el Registro es
comn a varios sistemas operativos Windows, existen algunas
diferencias entre ellos.
Los datos del Registro se almacenan en archivos binarios.
El uso del registro puede sernos de gran utilidad y su conocimiento
nos dar ms control sobre lo que en nuestra PC est sucediendo, ya
que a partir de l, podemos modificar todas aquellas variables que
influyen en su funcionamiento.
Por ejemplo, en l podemos modificar los archivos que se inician al
prender nuestra mquina, ya que las aplicaciones que se ejecutan en
la PC se encuentran reflejadas en las siguientes claves:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Run
En esta clave se vern reflejados los archivos del sistema que se
inician al prender la PC.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run
En esta clave se vern reflejados las aplicaciones y DLLs creadas a

partir de programas que instalemos en la PC, las cuales se inician al

prender la PC.
Eliminar una aplicacin en alguna de estas claves, evitara que dicha
aplicacin se inicie con el sistema.
El registro de Windows (como es de suponerse) es bastante denso.
Debido a esto, el explicar cada una de las subclaves del mismo sera
un trabajo demasiado extenso. Aqu lo que trataremos de dar es una
nocin bastante global sobre el registro y cmo editarlo.
El registro est conformado bsicamente por cinco claves principales,
como podemos verlo en el Editor de Registro de Windows, las cuales
estn descritas por Microsoft de la siguiente manera:

HKEY_CLASSES_ROOT: La informacin que se almacena aqu

garantiza que cuando abra una carpeta mediante el Explorador de
Windows, se abrir el programa correcto. Es una subclave de
HKEY_LOCAL_MACHINE\Software. Esta clave a veces aparece
abreviada como "HKCR.
HKEY_CURRENT_USER: Contiene la raz de la informacin de
configuracin del usuario que ha iniciado sesin. Las carpetas del
usuario, los colores de la pantalla y la configuracin del Panel de
Control se almacenan aqu. Esta informacin est asociada al perfil
del usuario. Esta clave a veces aparece abreviada como "HKCU".
HKEY_LOCAL_MACHINE: Contiene informacin de configuracin
especfica del equipo (para cualquier usuario). Esta clave a veces
aparece abreviada como "HKLM".
HKEY_USER: Contiene todos los perfiles de usuario cargados
activamente en el equipo. HKEY_CURRENT_USER es una subclave de
HKEY_USERS. HKEY_USERS puede aparecer abreviada como "HKU".
HKEY_CURRENT_CONFIG: Contiene informacin acerca del perfil de
hardware que utiliza el equipo local cuando se inicia el sistema.
La estructura del registro en versiones anteriores a Windows 2000,
presentaban ademas de las claves ya descritas, una clave extra la
cual se describe de la siguiente manera:
HKEY_DYN_DATA: Hay configuraciones realizadas por windows que
deben almacenarse en la memoria ram debido a la necesidad de que
dicha informacin sea actualizada y accesible lo mas rpido posible,

por lo que no se puede esperar que dichas configuraciones sean

enviadas a disco mediante el registro, el HKEY_DYN_DATA almacena
esta informacin, de esta forma, podras ver esta clave como una
copia de cierta informacin almacenada en la ram.

Mediante el uso del Editor del Registro de Windows

Ya teniendo nocin sobre lo que es el registro de Windows, ahora se
explicar cmo proceder para editarlo, ya que en muchos casos nos
veremos en la necesidad de editar, o borrar claves en el registro que
hayan sido creadas por algn malware.

Mediante el uso del Editor del Registro de Windows

Para editar el Registro, Windows cuenta con dos aplicaciones
(regedit.exe y regedt32.exe), las cuales funcionan como Editor del
Registro de Windows. A pesar de poder editar el registro con ambas
aplicaciones, cada una de ellas posee su funcin, y tienen sus
diferencias. Estas diferencias eran ms marcadas en las versiones de
Windows anteriores a XP. Cada editor puede ser definido de la
siguiente manera:
regedt32 es el editor de registro original. Fue creado para las
distribuciones Windows NT 3.1, 3.5 y 3.51. Su funcion es manipular
claves y valores del registro de Windows NT y tiene el estilo visual y
estndares del diseo de Microsoft de cuando fue creado (mediados
de 1992)
Tiene diferencias bastantes marcadas en cuanto al uso e interfaz en
comparacin con regedit. Las caractersticas de uso del regedt32 en
comparacin con regedit son las siguientes:
Permite la visualizacin y el cambio de ACL (Access Control List) de
seguridad en las claves del Registro.
Permite activar la auditora en las claves de tal forma que uno
pueda averiguar quin ha intentado -o ha conseguido- eliminar,
aadir o editar las claves o sus entradas.
Soporta todos los tipos de datos de registro ademas, permite
editar el valor de un tipo utilizando otro editor de tipos (muy til
cuando se editan valores REG_BINARY).
Posee un modo de slo lectura que permite inspeccionar el
Registro sin realizar cambios.
Puede cargar o guardar archivos de seccin o claves individuales.
Utiliza el paradigma de la interfaz de documentos mltiples
(Mltiple Document Interface, MDI), en el que cada clave raz tiene
su propia ventana.
Su interfaz luce de la siguiente manera:

regedit, fue creado cuando se desarrollaba Windows 95. La razn de

su creacin fue que la interfaz que posea regedt32, a Windows no le
pareca adecuada para su nueva distribucin (Windows 95). Adems
de esto, las diferencias estructurales entre los registros anteriores a
esta versin y la de Windows 95, hicieron necesario la creacin de
una herramienta complementaria, la cual es regedit.
Las caractersticas principales del regedit son:
Para una cadena especfica, busca claves, nombres de valores y
entradas. Esta funcionalidad no tiene precio y es la primera razn
para utilizar Regedit.
Utiliza el familiar interfaz de dos paneles del Explorador de
Windows, facilitando la comparacin de las ubicaciones de dos claves
o valores. Tambin incluye otras caractersticas tpicas del Explorador
de Windows, como mens contextuales, edicin in situ y el tambin
familiar control en rbol.
Importa y exporta claves seleccionadas (y sus elementos
subordinados) en un archivo de texto legible para los humanos, en
lugar de importar y exportar las claves del Registro en un formato
binario.
Incluye un men de favoritos (en la versin de Windows 2000), al
que se pueden aadir las claves que se editen repetidamente.

Su interfaz es la siguiente:

En Windows XP el regedt32 obtuvo la apariencia del regedit,

principalmente porque la interfaz que posea no era acorde
visualmente con esa versin de Windows, y algunas limitaciones que
posea el regedit fueron eliminadas pudindose as ahora editar y
crear permisos con l, pero se mantiene la existencia de dos editores
porque el regedt32 sigue siendo la aplicacin capaz de realizar
ediciones a datos de tipo REG_SZ y REG_MULTI_SZ, cosa que con el
regedit no se puede.
Para acceder al Editor de Registro se debe ingresar a Inicio-Ejecutar y
escribir el comando (bien sea regedit o regedt32)
Al acceder al Editor de Registro de Windows, encontraremos una
ventana como la siguiente (ambos editores poseen la misma
interfaz):

En ella se encuentran 2 paneles: el panel izquierdo, donde se

encuentran las claves y subclaves que conforman el Registro, y el

panel derecho, donde se encuentran los datos y valores de la

subclave seleccionada.
Editar el Registro de forma manual, se limita de forma prctica a
editar o cambiar valores, y eliminar valores o claves innecesarias, ya
que el usuario comn en ningn momento se ver en la necesidad de
crear una clave en el registro.
En caso de necesitar crear un valor especfico en una clave solo
debemos dirigirnos a la clave donde deseamos crear el valor, luego
hacer clic en un espacio en blanco del panel derecho del regedit una
vez all saldr el men contextual mostrando las siguientes opciones:

Elegimos la opcin referente al tipo de valor que vayamos a agregar,

(recordando que la informacin que el valor va a llevar debe ser
compatible con el tipo de valor, mas adelante se mostrara una lista
de los tipos de valores y datos) en este caso un valor DWORD, luego
veremos lo siguiente:

Ahora hacemos clic derecho sobre el valor y luego clic en la opcin

modificar, una vez hecho esto veremos esta ventana:

Ahora procedemos a modificar el valor colocndole el nombre y la

informacin de valor que deseamos.
Para eliminar claves en el registro, simplemente buscamos la clave
que deseamos borrar (sabiendo de antemano su ruta), hacemos clic
derecho sobre sta y seguidamente elegimos Eliminar. Si no sabemos
la ubicacin de esta subclave y slo sabemos el nombre, nos
dirigimos a Edicin-Buscar y hacemos clic sobre la opcin Buscar, en
la cual se nos mostrar la siguiente ventana:

En la casilla Buscar colocamos el nombre de lo que deseamos buscar

y seleccionamos o deseleccionamos las opciones mostradas,
dependiendo si es un valor, un dato o una clave lo que deseamos
buscar. Tambin podemos buscar la ruta completa si la conocemos y
no deseamos navegar a travs de las subclaves para buscarla.
Para editar o eliminar un valor o dato del registro en una clave, nos
dirigimos a dicha clave, luego hacemos clic sobre sta, ahora nos
dirigimos al panel derecho y buscamos el dato, y haciendo clic
derecho, procedemos a editar o eliminar, segn sea lo que deseemos
realizar.
Adems de estas funciones, el editor de registro de Windows, puede
realizar copias de claves del registro exportndolas en archivos de
extensin .reg, esto se realiza dirigindonos, al men Archivoexportar luego nos saldr una ventana donde elegimos donde
queremos guardar el archivo y una casilla en la parte inferior llamada
intervalo de exportacin

En la que debemos elegir la casilla Todos si la exportacin ser de

todas las claves del registro, o la opcin Rama Seleccionada para una
rama en especifico, si la exportacin ser de una rama o grupo de
datos en el registro en especifico tambin podramos sombrear
(haciendo clic y mantenindolo sostenido, luego movemos el mouse
para sombrear lo que deseemos) los datos que deseemos y nos
dirigimos a la casilla Exportar... y automticamente estarn
preseleccionados los datos previamente sombreados.

Mediante el uso de archivos .reg

Mediante el uso de archivos .reg
En muchos casos, usar el Editor del Registro de Windows no es una
opcin factible, o posible, como por ejemplo, que este haya sido
bloqueado por la accin de un malware (de ser asi podriamos usar la
herramienta RegUnlocker la cual es una herramienta creada por el
Staff para ese problema en especifico, o realizar los pasos indicados
en este post ), o que sea necesario borrar o editar varias claves de
Windows, por lo que la edicin individual de cada uno de ellos sera
algo tedioso. Para estos casos se pueden crear y utilizar archivos para
editar el registro. Para ello, Abrimos un Bloc de Notas y copiamos y
pegamos un texto con la siguiente estructura dentro de ellos:

En donde:
versinEditorRegistro: es el encabezado de la plantilla, en la cual se
coloca REGEDIT4" para cualquier versin de Windows y " Windows
Registry Editor Version 5.00 " para las versiones 2000, XP y Server
2003 de Windows.
rutaRegistro: es la ruta que contiene la subclave que se desea editar
(borrar, anexar o simplemente, cambiar algn valor de ella).
nombreDato: es el nombre del dato que se desea editar en la
subclave anteriormente colocada.
tipoDatos: es el tipo de dato como su nombre indica. Para tipos de
datos distintos a REG_SZ, se pone el signo dos puntos ( ":" ), que
viene inmediatamente despus del tipo de dato.
Los tipos de datos pueden ser:

Para los archivos .reg los valores slo pueden ser los siguientes:

valorDatos: es el valor del dato. Sigue inmediatamente despus del

signo dos puntos ( ":" ) y debe de estar en el formato adecuado (por
ejemplo, cadena o hexadecimal).
Luego estando dentro del Bloc nos vamos al men archivo-guardar
como.. elegimos un nombre al archivo y le agregamos la extensin
.reg, por ejemplo RegFix.reg, luego presionamos el botn Guardar.
Cabe destacar que se debe dejar una lnea en blanco entre subclaves
para que el archivo reconozca que se est editando una clave nueva,
y que a una misma ruta se le pueden agregar y/o editar varios datos.
Pero se crean subclaves en una misma ruta slo de una en una,
respetando la jerarqua de la ruta. Por ejemplo, si se desea crear la
siguiente subclave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Infospyware\Forospyware

pero no existe la subclave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Infospyware
debe crearse sta primero, y seguidamente, crear la otra clave dentro
de ella de esta manera:

Para dar un ejemplo de cmo agregar una clave al registro, podemos

hacer lo siguiente:
Copiar en un bloc de notas lo siguiente:
Cdigo:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Infospyware]
Guardamos el archivo colocando al final del nombre .reg y
procedemos a hacer doble clic sobre el archivo. Seguidamente se nos
preguntar si deseamos hacer el cambio en el registro. Le damos a
Aceptar y despus saldr una ventana dicindonos que se agregado
la informacin en el Registro. De esta manera, estamos creando una
nueva subclave llamada Infospyware en la ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
Si entramos al regedit en este momento y buscamos la ruta veremos
una subclave llamada Infospyware.

Para eliminar una subclave basta con colocar el signo menos (-) antes
de la ruta y despus del corchete, de esta manera:
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Infospyware]
Quedndonos de la siguiente manera en el bloc de notas:
Cdigo:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\I
nfospyware]
Guardamos el archivo y luego hacemos doble clic sobre el mismo.
Ahora hemos borrado la subclave Infospyware dentro de la ruta
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
Para eliminar datos, basta con colocar un signo menos (-) despus de
el signo igual (=) al final del dato.
Para hacer un ejemplo, hagamos lo siguiente:
Abrimos un bloc de notas y copiamos lo siguiente:
Cdigo:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Infospyware]
"forospyware"=dword:00000000
Guardamos el archivo .reg y luego hacemos doble clic sobre el

mismo. De esta manera hemos creado un nuevo dato llamado

Forospyware dentro de la ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Infospyware

Ahora, para borrar el dato, lo que tendramos que hacer es colocar un

guin (-) despus del signo igual, de la siguiente manera:
"forospyware"=Quedndonos el archivo .reg as:
Cdigo:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Infospyware]
"forospyware"=Luego, guardamos y hacemos doble clic sobre el archivo. De esta
forma hemos borrado el dato del registro.
En caso de encontrarnos con claves rebeldes en el registro,
procederiamos a eliminarlas mediante el uso de utilidades como
RegASSASSIN

Mediante el uso de la consola del sistema (cmd.exe)

Mediante el uso de la consola del sistema (cmd.exe)
El registro puede editarse tambin mediante el uso de la consola o
smbolo del sistema. Para realizar esto debemos acceder a ella
entrando a inicio-ejecutar, teclear cmd y luego aceptar si poseemos
Windows 2000 o XP, o teclear command en ejecutar si poseemos
Windows 98/95. En todos las versiones de windows tambin se puede
acceder a la consola iniciando la PC en modo smbolo del sistema lo
cual se hace tecleando F8 al iniciar la pc y luego eligiendo la opcin
modo smbolo del sistema.

Una vez en la consola del sistema tendremos a nuestra disposicin

comandos mediante los cuales realizaremos las ediciones del registro.
Los comandos son los siguientes:
Reg add: sirve para agregar informacin en el registro. La
informacin se debe agregar siguiendo este patrn: reg add clave,
donde clave es la clave que deseas crear en el registro. Este
comando cuenta con modificadores para realizar diferentes ediciones
en la clave que se desea agregar. Los modificadores se agregan
dejando un espacio despus de la clave seguido del signo /.

Los modificadores son los siguientes:

/v: este modificador es para agregar nombre al valor de la clave que
se desea agregar. Si se usa este modificador la clave que se crea
tendr 2 valores: el predeterminado y el que acabamos de crear.
Por ejemplo: si colocamos el siguiente comando
Reg add HKCC\Forospyware /v info
podremos ver que se ha creado la subclave Forospyware en la clave
HKEY_CURRENT_CONFIG, dentro de la cual se encuentran el valor
predeterminado y el valor info que acabamos de agregar.

Los valores agregados mediante este modificador son de tipo RG_SZ

de modo predeterminado
/t: especifica el tipo de dato de la clave que se esta agregando, los
cuales pueden ser:
REG_SZ, RED_DWORD, REG_NONE, RE_MULTI_SZ, REG_BINARY,
REG_EXPAND_SZ, REG_DWORD_BIG_ENDIAN,
REG_DWORD_LITTLE_ENDIAN
Si no se especifica algn tipo en concreto, el dato es de tipo REG_SZ
de modo predeterminado como ya se indic.
/s: especifica el carcter que se usa como separador en la cadena de
dato para un tipo de dato REG_MULTI_SZ. si no se especifica valor, el
carcter separador sera \0 de forma predeterminada.
/d: es el modificador para especificar el valor del dato que se est
asignando a la clave.
/f: este modificador se usa si la entrada del registro ya existe y se
desea modificar. Con l la clave que se este agregando, se edita
colocando la informacin nueva.
Reg query: se usa para consultar una clave del registro en
especfico. Este comando posee los siguientes modificadores:

/v: consulta la clave especificada, por ejemplo si tecleamos el

siguiente comando:
Reg query hkcc\software\fonts /v logpixels
tendramos la informacin del valor logpixels dentro de la clave
hkcc\software\fonts, as como tambin la informacin que nos indica
qu tipo de dato contiene y su valor de dato.
/ve: consulta el valor predeterminado del dato especificado
/s: consulta todas la subclaves y valores
Reg delete: este comando sirve para eliminar claves y valores del
registro. Sus modificadores son:
/ve: elimina el valor predeterminado de la clave
/va: elimina todos los valores de dicha clave
/f: se usa en conjunto con alguno de los modificadores anteriores y
sirve para forzar la eliminacin sin que se nos consulte si deseamos o
no realizarla.
Reg copy: sirve para copiar datos de una clave en otra clave. La
forma del comando debe ser la siguiente:
Reg copy clave_1 clave_2
Donde clave_1 es la clave que se desea copiar y clave_2 es en la que
se desea la copia. Este comando posee los siguientes modificadores:
/s: copia todas las subclaves y valores de la Clave_1 a la Clave_2
/f: fuerza la copia sin que se nos avise
Reg save: este comando sirve para realizar una copia del registro,
la cual se guardar en la carpeta actual desde donde se est
ejecutando el comando. Como podemos darnos cuenta al ejecutar la
consola del sistema, nos encontramos con esta entrada, desde la cual
escribimos los comandos inicialmente:
C:\Documents and Settings\Personal
Esto significa que nos encontramos en esa carpeta en el msdos. Si
ejecutamos el comando reg save la copia del registro aparecer en
esa carpeta. Este comando se debe ejecutar siguiendo este formato:
Reg save Clave nombre_de_copia.extension
Por ejemplo
Reg save hklm\software copia.hiv
De esta manera, se guardar una copia del la clave HKLM\software.
La copia debe crearse con extensin .hiv para que pueda ser valida
para su uso con el comando reg restore o reg load.
Reg restore: sirve para escribir copias de claves previamente
creadas con el comando reg save. El formato del mismo debe ser de
la siguiente manera:
Reg restore Clave Nombre_de_copia.hiv
Por ejemplo:
Reg restore hklm\software copia.hiv
Reg load: su funcin es parecida a la de reg restore la cual es
cargar claves en el registro desde archivos .hiv previamente creados
con el comando reg save.
Reg unload: elimina una seccin del registro que haya sido cargada

con el comando reg load.

Reg compare: sirve para comparar claves entre s. El formato debe
ser el siguiente:
reg compare clave_1 clave_2
Reg export: se usa para exportar valores del registro en archivos
.reg. Su formato debe ser el siguiente
reg export Clave_a_exportar nombre_archivo.reg
Reg import: se usa para importar claves hacia el registro desde
archivos .reg el formato debe ser el siguiente reg import Archivo.reg
Si se desea realizar una modificacin a un equipo remoto colocado en
red, slo se debe colocar el nombre del equipo antes de la clave y
despus del comando:
Tipo_de_comando \\nombre_equipo\Clave
Las modificaciones a equipos remotos slo se pueden realizar a las
claves HKEY_LOCAL_MACHINE y HKEY_USERS.
Las versiones 98 y ME de Windows cuentan con un comando para
corregir errores y restaurar copias del registro, las cuales va creando
automticamente de forma predeterminada. Este comando es
scanreg el cual cuenta con los siguientes modificadores:
/backup sirve para realizar una copia del registro
/restore este modificador es para seleccionar una copia del registro
que se desee restaurar
/fix con este comando se realizar un anlisis del registro, en el cual
si se encuentran errores estos sern corregidos.
Es importante indicar que cuando se desee conocer alguna
informacin sobre algn comando del Msdos, slo se debe ejecutar el
nombre del comando seguido del modificador /? .
Por ejemplo: reg add /?
Si lo ejecutamos aparecer informacin sobre el comando reg
add.entradas que ya no son necesarias, por ejemplo, entradas
remanentes de programas que han sido desintalados de la PC.
Mediante el uso de programas tiles para Editar el Registro
Mediante el uso de programas tiles para Editar el Registro
El Registro de Windows puede ser editado mediante el uso de
programas creados para limpiar el registro de entradas que ya no son
necesarias, por ejemplo, entradas remanentes de programas que han
sido desintalados de la PC.
Para ver una lista de estos programas pueden entrar en este tema
realizado por Heavyman
Herramientas para el registro.
Antes de modificar el registro es necesario hacer un punto de
restauracin Si se est realizando una limpieza del PC y es necesario
eliminar los puntos de restauracin (vaciar la carpeta System Volume
Information), se puede usar la herramienta Erunt 1.1j para crear una
copia de seguridad en una ubicacion de nuestra eleccion.