¿Sabes qué es el registro de Windows y cómo funciona? El registro de Windows es una base de datos centralizada y jerárquica utilizada por este sistema operativo para almacenar información importante sobre la configuración y el funcionamiento del sistema y las aplicaciones instaladas en él. Se emplea para almacenar información sobre configuraciones de hardware, controladores de dispositivos, programas instalados, configuraciones de red, perfiles de usuario y más.
Veamos un poco más a fondo qué es el registro de Windows y cómo funciona.
Registro de Windows
Los usuarios avanzados y los técnicos de soporte a menudo utilizan el registro de Windows para realizar ajustes y correcciones de configuración en el sistema. Es importante tener cuidado al hacer cambios en el registro, puesto que los cambios incorrectos pueden causar problemas en el sistema.
El registro de Windows puede ser una valiosa fuente de artefactos forenses, ya que:
- Contiene configuraciones de Windows y es un sustituto de los ficheros .ini, que aparecían en las primeras versiones de Windows para guardar los archivos que ahora guarda el registro de Windows
- Supervisa y registra los datos específicos del usuario para estructurar y mejorar la experiencia del usuario durante la interacción con el sistema.
- Se puede interactuar directamente con el registro mediante regedit.exe, que se utiliza mucho cuando tenemos que cambiar algo en la cadena de registro.
Si bien desde Windows 95 se empezó a usar el registro del sistema, todavía se siguen almacenando algunos archivos con el .ini, pero ya no son los del sistema.
El registro de Windows está formado por:
- Key y subkey: similar a los directorios y subdirectorios.
- Values: corresponde a la información almacenada dentro de una key.
Cada key en cada hive tiene un last write time, almacenado en UTC.
- Este artefacto se actualiza cada vez que el valor cambia o se añade algo a la key.
- Para poder dotarlo de valor, sería necesario realizar una investigación de cómo se comporta un programa en concreto, teniendo en cuenta que, cada vez que se modifica cada valor de la key, este campo se actualizará.
Editor del registro
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaVisualizar el editor del registro es muy fácil. Lo único que tendremos que hacer es abrir la casilla de «Ejecutar» de Windows y copiar «regedit.exe»:
Le damos a aceptar y se abrirá una ventana como la siguiente:
Aquí podemos observar toda la información que obtenemos de los registros.
Registro de Windows – Hives
Los hives son una rama del registro de Windows que almacena datos volátiles. Están localizados en %Windir%\System32\Config.
Principalmente tenemos estos 5:
- SAM → HKEY_ LOCAL_ MACHINE
- SECURITY → HKEY_ LOCAL_ MACHINE
- SYSTEM → HKEY_ LOCAL_ MACHINE
- SOFTWARE → HKEY_ LOCAL_ MACHINE
- DEFAULT → HKEY_ LOCAL_ MACHINE
Además de estos registros, que son los que corresponden al sistema y son creados por este, existe otro tipo de registro, que es el de usuario. Dentro están otra serie de archivos, localizados en \%UserProfile% \{user}\ NTUSER.DAT.
Si escogemos dentro de la carpeta «Users» cualquier usuario del sistema, veremos que nos aparecen en el registro de Windows todos los archivos que pertenecen a dicho usuario con la información del mismo.
Cuando estamos analizando un sistema con el regedit, estas son las claves que tiene cada uno de los archivos.
FTK Imager y el registro de Windows
Veamos cómo observar los archivos del registro de Windows. Si abrimos el FTK Imager y clicamos en el menú Archivo/Add evidence item, vemos esto:
Vamos a seleccionar el radio button que dice «Image file».
Ahora seleccionaremos nuestro archivo a subir:
Vamos a escanear la imagen:
Ahora, una vez hemos escaneado la imagen del registro de Windows, vamos a abrir la carpeta donde se encuentran los registros. Para ello nos iremos a la carpeta Windows/System32:
Dentro de esta carpeta tendremos otra, denominada «config». Hacemos clic en ella:
Vemos que todos los archivos del registro de Windows se encuentran allí:
Incluso nos aparecen los ficheros borrados, como es el caso del SAM:
Esto es gracias a las posibilidades que nos ofrece directamente la herramienta de FTK Imager.
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué es el registro de Windows. Si quieres seguir formándote en las distintas ramas de la seguridad informática, en KeepCoding tenemos la formación de alta intensidad perfecta para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y verás cómo puedes convertirte en todo un profesional IT con la guía constante de profesores expertos en el sector. ¡Pide ahora mismo más información y da el paso que transformará tu carrera profesional!
