Todo sobre el registro de Windows. Registro de Windows para principiantes. Conceptos básicos, seguimiento y cuidados.

Todo sobre el registro de Windows. Registro de Windows para principiantes. Conceptos básicos, seguimiento y cuidados.

Hoy intentaremos acceder al registro de Windows por la puerta trasera, sin utilizar las funciones estándar de WinAPI destinadas a ello. ¿Qué nos dará esto al final? ¡La capacidad de escribir y leer directamente desde el registro, evitando las restricciones establecidas por los desarrolladores de soluciones antivirus!

De cara al futuro, señalaré: este tema es interesante, pero aquí hay toda una serie de problemas graves. Aunque ¿quién dijo que no podemos soportarlo? 🙂

¿Qué es un registro, o algunas letras?

Desde el punto de vista del sistema operativo Windows, el registro es un almacén único. Esta base de datos jerárquica construida de forma única almacena configuraciones, datos, información de registro y otras tonterías sobre casi todo lo que hay en el sistema, desde programas hasta la configuración de un usuario específico. Casi todo se almacena en el registro. A pesar de que algunos programas prefieren almacenar su configuración en ini-configs (especialmente los programas escritos para Win 3.11 - Nota del editor), el propio Windows lee toda la información necesaria sobre sí mismo del registro. Para ser justos, observamos que en los sistemas operativos tipo *nix todavía domina el sistema para almacenar configuraciones en todo tipo de configuraciones.

Al comenzar a trabajar con el registro, los administradores de sistemas novatos temen a los camaradas mayores que configurar y cambiar incorrectamente los parámetros del registro pueden bloquear completamente el sistema y su posterior reinstalación. Y esto es cierto.

Por ejemplo, los llamados puntos de recuperación son copias del registro. Son muy utilizados por los usuarios cuando surgen diversos problemas tanto con el sistema operativo como con el software y hardware.

Hay que decir que el 99% de la información sobre el registro de Windows es una descripción de las claves principales más consejos sobre cómo trabajar con ellas. Pero, ¿cómo funciona el propio sistema operativo con el registro? ¿Y podemos emular sus acciones? Especulemos un poco.

¿Así que lo que?

El registro es a la vez una fortaleza y una debilidad de Windows. La ventaja del registro es que los desarrolladores de software no necesitan manipular una gran cantidad de configuraciones, como se implementa, por ejemplo, en Nix. El registro también es conveniente para los creadores de componentes COM: el sistema registra automáticamente dicho componente en el registro y facilita la tarea de su uso posterior.

La debilidad del registro es que el acceso a la modificación de áreas sensibles del registro permite que cualquier programa escrito por algún malware recién creado controle Windows. Solo recuerde la rama más famosa del registro de Windows, que le permite ejecutar programas al inicio del sistema operativo :).

Si en Windows 98 el registro podía ser reparado por cualquiera que se le ocurriera, entonces, a partir de Windows XP, sólo los usuarios con una cuenta de administrador tienen acceso al registro. En Vista+, el acceso al registro está protegido por UAC. Esto es comprensible.

Hay que admitir que con el lanzamiento de Win7, los conceptos de seguridad al trabajar con el registro se revisaron para mejor. Por ejemplo, la rama del registro de claves HKEY_LOCAL_MACHINE está protegida. En general, un intento de escribir algo en él será redirigido a la rama HKEY_CURRENT_USER apropiada para el usuario actual.

Interfaz

Para trabajar directamente con el registro, Windows ofrece al programador un conjunto completo de WinAPI, que deberían resultar familiares para cualquier desarrollador de sistemas: se trata de funciones Reg*, como RegOpenKey, RegQueryValue, etc. En el kernel Win, estos son NtOpenKey, NtQueryValueKey y muchos otros. No tiene ningún sentido describirlas: toda la documentación sobre el uso adecuado de estas funciones se puede encontrar en MSDN.

Aquí hay algo que vale la pena señalar. Para controlar las acciones de los usuarios, los antivirus y los programas proactivos instalan intercepciones en las funciones mencionadas, tanto en el kernel como en el modo de usuario.

Con el lanzamiento de Win7 x64, la situación cambió y ya escribí sobre ello una vez. Los desarrolladores de Windows han decidido abandonar la posibilidad de interceptar funciones potencialmente peligrosas en el kernel de Win. Ahora la variable KeServiceDescriptorTable ya no se exporta en x64 y PatchGuard no le permitirá reescribir la sección requerida del código. Por supuesto, existen soluciones sadomasoquistas para eludir estas restricciones, pero habrá más dolor que beneficio. Además, Microsoft ofrece ObRegisterCallbacks convenientes para monitorear el registro.

INFORMACIÓN

Hay muy poca información en Internet sobre las estructuras que describen los principales archivos de registro. Y casi todos están en inglés. Se pueden encontrar conocimientos básicos. Además, los camaradas M. Russinovich y D. Solomon están bien escritos sobre el registro en la biblia de sistemas "Dispositivos internos de Windows".

Y ahora, sobre la parte divertida.

Pero ¿qué es realmente un registro? Si observa la carpeta WINDOWSsystem32config, puede ver varios archivos allí: sistema, software, seguridad, SAM y varios otros.

Estos son archivos de registro.

Sin embargo, sería injusto hablar del registro simplemente como una combinación de archivos cargados en la memoria. Gran parte de lo que contiene el registro es de naturaleza dinámica, es decir, una serie de valores se calculan en la etapa de carga del sistema, principalmente se trata de ciertos parámetros de hardware. Por ejemplo, esta es la subclave de registro HKEY_DYN_DATA, cuyos datos, cuando se inicia el sistema operativo, se colocan en la RAM y permanecen allí hasta que se apaga el sistema operativo. Lo mismo, por cierto, puede decirse de la subclave clave HKEY_LOCAL_MACHINE, que no tiene su propio archivo correspondiente en el disco, sino que en realidad se forma a partir de otros archivos de registro, como software, sistema y otros.

Por lo tanto, el registro desde el interior puede denominarse en términos generales “combinación virtual de archivos de registro”. Una vez que se inicia el sistema, estos archivos se ubican tanto en el archivo de paginación (grupo paginado) como en la memoria no paginada (no paginada).

Estructura de registro

Para aprender a trabajar directamente con el registro, no puede prescindir del conocimiento de su estructura interna. En general, Microsoft nunca ha revelado la estructura interna de los archivos que componen el registro porque supone un riesgo para la seguridad. Según mis observaciones, todas las descripciones disponibles de los archivos de registro y su estructura (y, por cierto, hay muy pocas) son resultados de la investigación de investigadores pioneros. En mi opinión, la “investigación” más completa posible es la del camarada Peter Norris.

No entraremos ahora en detalles sobre la organización y estructura del registro; este es un asunto largo y tedioso y definitivamente no entra en el alcance del artículo. Es importante entender aquí que el registro es una estructura jerárquica en forma de árbol, a veces también se dice que es como un panal.

¿Y qué hacer con todo esto ahora?

Te decepcionaré de inmediato: no podrás jugar trucos fácilmente directamente con el registro en modo de usuario, el sistema no te permitirá hacer esto, como suele ser el caso con los archivos ocupados por otros procesos; Si intentas esquivarlo, sólo podrás leer un archivo tan "ocupado" y sólo si adivinas las banderas con las que se abrió. Lamentablemente, no será posible escribir la información que nos interesa en el “archivo de registro”. Por cierto, la función de escribir la información necesaria en el registro puede funcionar si escribe en el registro archivos *.BAK, definitivamente se pueden escribir.

Entonces, cuida tu mano :).

Lo primero que se le puede ocurrir es abrir el archivo de registro directamente y escribir algo allí.

En teoría, esto se puede hacer, para ello es necesario, en primer lugar, poder trabajar con archivos "ocupados" (busque métodos en Internet) y, en segundo lugar, como dije anteriormente, es necesario conocer la estructura interna del registro. archivos. Este método es bastante torpe, pero a pesar de su tontería, es bastante viable, aunque es difícil de implementar en la práctica (intente experimentar con él usted mismo).

Aquí ofreceré dos métodos que le ayudarán a cortar el registro en trozos pequeños.

La primera forma es que para el administrador de configuración (Administrador de configuración, parte del sistema operativo, si no lo sabe), el registro no es más que un conjunto de estructuras estrictamente definidas en la memoria operativa, que, como resulta, son muy fáciles de trabajar. ¿Cuáles son estas estructuras, preguntas? HBASE_BLOCK, HHIVE, HBIN, HCELL, HMAP_ENTRY, HMAP_DIRECTORY, un montón de estructuras CM_* utilizadas por el administrador de configuración para administrar el registro. Desde el punto de vista del sistema operativo, el registro es simplemente un conjunto de estructuras reguladas en la RAM. Por ejemplo, la firma "regf", que define un "archivo de registro", es una constante predefinida:

Defina HBASE_BLOCK_SIGNATURE 0x66676572 typedef struct _HBASE_BLOCK (Firma ULONG; //0x66676572 Secuencia ULONG1; Secuencia ULONG2; LARGE_INTEGER TimeStamp; ....) Y aquí está la firma "regf"...

Es decir, el punto de todo este monólogo mío es que existe una gran oportunidad de manipular el registro a nivel del sistema operativo, pero sin utilizar sus herramientas estándar. ¿Cómo es esto posible? ¡Simplemente emulamos las acciones del propio sistema operativo, exactamente como funciona con el registro! Es importante, como ya dije, entender que para el propio sistema operativo, el registro no es más que un conjunto de estructuras correspondientes en la memoria.

Si tenemos acceso a los archivos de registro a nivel del kernel, ¿por qué somos peores que el propio sistema operativo para establecer su orden?

Y aquí aparece en escena la pregunta más interesante: ¿cómo encontrar estas mismas estructuras en la memoria? Es cierto que no existen herramientas de sistema estándar para resolver este problema, por lo que tendrás que salir de él de forma astuta.

Al saber cómo se ven las estructuras, debe recordar que cada archivo, la colmena del registro, tiene su propia firma constante. Por ejemplo, "regf" es 0x66676572. Para una colmena, la firma será 0xBEE0BEE0. Con el acceso a la memoria desde el kernel, podemos encontrar estas firmas en la memoria con bastante facilidad simplemente escaneándola. También puede escanear la memoria en busca de la firma "CM10": esto es lo que el administrador de configuración asigna al bloque de memoria de intercambio, que está asignado para la estructura CMHIVE. Creo que una vez que encuentres un elemento que nos interese en tu memoria, sabrás qué hacer con él a continuación :).

¿Cómo, por ejemplo, se puede cambiar el valor de una celda del registro? El valor se almacena en el campo CM_KEY_VALUE->Datos, por lo que si tiene la tarea de cambiar cualquier campo en una clave de registro específica, busque el valor allí:

Typedef struct _CM_KEY_VALUE ( WORD Signature; // #define CM_KEY_VALUE_SIGNATURE 0x6B76 WORD NameLength; ULONG DataLength; ULONG Data; // Exportar", ingrese un nombre de archivo y guárdelo en un lugar seguro.

Para crear una nueva partición, haga clic derecho en la clave de nivel raíz y seleccione Nuevo -> Partición. La nueva partición se verá como una carpeta y, de forma predeterminada, se llamará algo así como "Nueva partición n.° 1". Por supuesto, siempre se puede cambiar el nombre de la sección. Se sigue el mismo procedimiento cada vez que es necesario crear una nueva subclave.

Para crear un nuevo parámetro, haga clic derecho en un área vacía del panel derecho del editor y seleccione el parámetro deseado. Al parámetro creado se le debe dar un nombre; El nombre depende enteramente de los requisitos específicos.

Para asignar un valor a un parámetro, haga doble clic en él e ingrese un valor. Nuevamente, el valor depende del programa o de la configuración específica.

Derechos de acceso a las claves de registro.

Por analogía con los derechos y permisos para ciertos objetos en el sistema de archivos NTFS, se proporciona la misma protección para las claves de registro.

Desde Windows Vista, una gran cantidad de claves de registro específicas del sistema operativo que almacenan la configuración de Windows han sido protegidas por la Protección de recursos de Windows, por lo que no puede simplemente eliminarlas o cambiarlas. No puede hacer esto sin convertirse en su propietario y establecer permisos (derechos de acceso) sobre ellos. Afortunadamente, el sistema operativo también lo permite, pero el método manual es demasiado tedioso, por lo que es mejor utilizar una utilidad sencilla que automatice todo este proceso.

¡Eso es todo! Espero que lo anterior le haya ayudado a comprender mejor el Registro de Windows y sus componentes principales. ¡Comparte tus opiniones y experiencias en los comentarios a continuación!

¡Qué tengas un lindo día!


Muchos usuarios se encuentran con los términos "limpiar registro", "eliminar del registro", "copia de seguridad del registro", "registro del sistema", etc., pero una parte importante de ellos ni siquiera sabe qué es este registro. En este artículo veremos qué es el registro del sistema, por qué es necesario limpiarlo y cómo trabajar con él.

Registro de Windows, ¿qué es?

El registro, el registro del sistema y el registro de Windows es una base de datos enorme y al mismo tiempo la principal base de datos jerárquica de los sistemas operativos de la familia Windows, que apareció por primera vez en 1992 en Windows 3.1. Consta de varios archivos almacenados en directorios del sistema, como ServiceProfiles, %USERPROFILE%, System32config. Surgió como reemplazo de los archivos ini, que anteriormente almacenaban la configuración del sistema. Esto aumentó significativamente la velocidad de acceso a los datos del sistema.

La base de datos contiene información sobre el hardware y el software de la computadora, la configuración y los modos de funcionamiento de cada componente del sistema, la configuración de la cuenta, la configuración del panel de control, la configuración del servicio, las asociaciones de archivos y mucho más. Una cantidad significativa de cambios realizados por el usuario, las aplicaciones o el propio sistema operativo en la computadora se almacenan en el registro del sistema.

¿Por qué limpiar el registro y optimizarlo?

Como se señaló, el registro contiene información sobre prácticamente todos los componentes del sistema y sus configuraciones, y consta de más de una docena de archivos protegidos del sistema. En base a esto, los archivos de la base de datos del sistema, como cualquier otro, están sujetos a desfragmentación (cuando los sectores que almacenan un documento están dispersos en la superficie del disco, en lugar de estar cerca), lo que aumenta el tiempo de acceso al registro. Por tanto, necesita una desfragmentación periódica. Simplemente no es posible desfragmentar los archivos del sistema de la forma habitual, ya que Windows los utiliza constantemente. Para ello, se han desarrollado muchas utilidades especiales: desfragmentadores y modificadores.

Es necesario limpiar la base de datos del sistema de entradas basura, que son información sobre aplicaciones remotas, bibliotecas, fuentes, controladores y asociaciones de archivos con programas remotos, etc. para reducir el volumen del registro y el tiempo de acceso a las entradas del registro. .

Estructura de registro

La base de datos del sistema consta de varias secciones, cada una de las cuales se almacena en su propio archivo. Algunas subsecciones que ocupan una gran cantidad de espacio, por ejemplo, la información sobre las aplicaciones instaladas, también se guardan en archivos separados.

Registro de Windows - sucursales
  • HKEY_CLASSES_ROOT (HKCR): la sucursal almacena datos sobre todas las extensiones de archivos registradas en el sistema operativo, sus asociaciones con programas, así como componentes ActiveX y COM.
  • HKEY_CURRENT_USER (HKCU): la configuración de la cuenta del usuario actual se almacena aquí.
  • HKEY_LOCAL_MACHINE (HKLM): datos sobre los componentes de hardware de la computadora, sus controladores, modos de funcionamiento e información sobre la carga del sistema operativo Windows.
  • HKEY_USERS (HKU): almacena todos los datos sobre todas las cuentas de usuario en esta computadora.
  • HKEY_CURRENT_CONFIG (HKCC): contiene información sobre el hardware utilizado para encender la computadora.

¿Cómo ejecutar un programa para trabajar con el registro?

Windows está equipado con una utilidad sencilla y funcional para que el usuario trabaje con su registro. Hay varias formas de iniciar el Editor del Registro, que administra todas las entradas de la base de datos del sistema.

¿Cómo abrir el registro de Windows?
  • 1er método
  • Abra el cuadro de diálogo "Ejecutar" usando la combinación "Win + R".

    • Escribimos “regedit” en el formulario de texto y hacemos clic en “Aceptar”.
  • 2do método
  • Llame a "Inicio" e ingrese el comando para iniciar el editor de registro "regedit" en la barra de búsqueda.

    • En los resultados de la búsqueda, haga clic en "regedit.exe" para iniciar la utilidad del sistema.

    Trabajamos con entradas de registro del sistema utilizando un editor de registro estándar.

    Después de iniciar el Editor del Registro, aparecerá una ventana frente a nosotros que muestra la estructura jerárquica de la base de datos del sistema.

    Cada una de sus ramas contiene una gran cantidad de subsecciones, que se abren haciendo clic en el triángulo, haciendo doble clic en el nombre de la sección/subsección o haciendo clic en el botón “®”, el cursor a la derecha del teclado.

    • El usuario tiene las siguientes opciones para trabajar con el registro del sistema:
    • exportación e importación tanto de sucursales enteras como de sus secciones y registros individuales (claves);
    • transferencia de cualquier subsección del registro al papel en forma de información de texto;
    • crear, eliminar, cambiar el nombre de claves y ramas;

    buscar cualquier información en el registro.

    Trabajar con el registro a través de un programa estándar no es muy diferente de trabajar con datos del sistema de archivos de su disco duro, con algunas excepciones, una de las cuales es la imposibilidad de trabajar con varios objetos al mismo tiempo. Y la vista de la base de datos del sistema en forma de árbol resultará inusual para muchos usuarios. El botón F2 también es responsable de cambiar el nombre, Eliminar: eliminar ramas y claves de registro.

    ¡Importante! Antes de realizar cualquier acción con el registro, asegúrese de crear una copia de seguridad de la rama o sección en la que desea realizar cambios.

    Creando una copia de seguridad de una sección o sucursal:

    Llame al menú contextual de la rama que se está modificando y seleccione "Exportar" o seleccione la rama, llame al elemento del menú "Archivo" y haga clic en "Exportar...".

    Establezca la ruta y el nombre del archivo de salida.


    Si tienes alguna pregunta sobre el tema "    ¿Qué es un registro y cómo trabajar con él?”, puedes preguntarles en los comentarios

    ¿Cómo crear una cuenta de ID de Apple en iPhone, iPad o iPod touch?

    En primer lugar, abra App Store, iTunes Store o iBooks y seleccione cualquier programa gratuito. Ahora la fila con el objeto seleccionado presiona OBTENER. Luego haga clic nuevamente para cargar el elemento. Haga clic en "Crear una nueva ID de Apple". Siga más instrucciones. Haga clic en "No" cuando se le soliciten los detalles de pago. Después de ingresar su información, se le pedirá que verifique su ID de Apple por correo electrónico. Antes de poder utilizar su ID de Apple, primero debe verificarla.

    • Volver al paso anterior
    • Reiniciar las preguntas frecuentes
    • Preguntar

    ¡Gracias! Intentaremos responder lo antes posible.


    if(function_exists("las_calificaciones")) ( las_calificaciones(); ) ?>

    El Registro de Windows, o registro del sistema, es una base de datos de parámetros y configuraciones construida jerárquicamente en la mayoría de los sistemas operativos Microsoft Windows.

    El registro contiene información y configuraciones de hardware, software, perfiles de usuario y ajustes preestablecidos. La mayoría de los cambios en el Panel de control, asociaciones de archivos, políticas del sistema y la lista de software instalado se registran en el registro.

    El registro de Windows se introdujo para organizar la información previamente almacenada en muchos archivos INI, proporcionar un mecanismo único (API) para escribir y leer configuraciones y eliminar los problemas de nombres cortos, falta de derechos de acceso y acceso lento a los archivos INI almacenados en el sistema de archivos FAT16, que tenía serios problemas de rendimiento al buscar archivos en directorios con una gran cantidad de ellos. Con el tiempo (finalmente, con la llegada del sistema de archivos NTFS), los problemas resueltos por el registro desaparecieron, pero el registro permaneció debido a la compatibilidad con versiones anteriores y está presente en todas las versiones de Windows, incluida la última. Dado que actualmente no existe ningún requisito previo real para utilizar dicho mecanismo, Microsoft Windows es el único sistema operativo actualmente en uso que utiliza el mecanismo de registro del sistema operativo. En general, el Registro es un rudimento.

    El Registro de Windows en su forma actual.

    El registro, tal como lo usa Windows y como lo ve el usuario cuando usa programas de registro, se forma a partir de varios datos. Para obtener lo que ve el usuario al editar el registro, sucede lo siguiente.

    Primero, durante el proceso de instalación (instalación) y configuración de Windows, se forman archivos en el disco en los que se almacenan parte de los datos relacionados con la configuración del sistema.


    Luego, durante cada inicio del sistema, así como durante cada inicio de sesión y salida de cada usuario, se forma una determinada entidad virtual, llamada "registro": un objeto REGISTRO\. Los datos para formar el “registro” se toman en parte de esos mismos archivos (Software, Sistema...), en parte de la información recopilada por ntdetect durante la descarga (HKLM\Hardware\Description).

    Es decir, parte de los datos del registro se almacenan en archivos y parte de los datos se genera durante el proceso de inicio de Windows.

    Las ramas del registro están disponibles para editar, ver y estudiar el registro utilizando herramientas estándar de Windows (programas regedit.exe y regedt32.exe). Después de editar el registro y/o realizar cambios en él, estos cambios se escriben inmediatamente en archivos.

    Sin embargo, existen programas de terceros que le permiten trabajar directamente con archivos.

    Los programas de optimización del registro, los modificadores, así como los instaladores y desinstaladores de programas funcionan mediante funciones especiales para trabajar con el registro.

    ¿Dónde se encuentran los archivos de registro de Windows?

    Los archivos de registro se encuentran en la carpeta windows\System32\config\ y también hay una sección de registro de usuarios, en el archivo %userprofile%\ntuser.dat. Las copias de seguridad de los archivos de registro se encuentran en la carpeta windows\System32\config\RegBack.

    ¿Cuáles son las secciones principales (colmenas) del registro? Sección HKEY_CLASSES_ROOT?

    Esta es la clave de registro principal de Windows y contiene asociaciones de archivos, que asocian tipos de archivos con programas que pueden abrirlos y editarlos, y registro de clases para objetos del Modelo de objetos componentes (COM). Este último brinda la oportunidad de cambiar una increíble cantidad de reglas de comportamiento del sistema; esto no debe hacerse sin una buena razón.

    Sección HKEY_CURRENT_USER

    Almacena la configuración del usuario activo actual. La sucursal almacena carpetas de usuario, varias configuraciones personales y parámetros del panel de control. Esta información interactúa directamente con el perfil del usuario. Esta rama consta de varias subsecciones que contienen las rutas de los archivos de sonido utilizados para expresar los eventos del sistema; Varias cosas que se pueden cambiar en el Panel de control, como la disposición de los iconos; información sobre la distribución actual del teclado, la configuración de la aplicación del usuario, etc.

    Sección HKEY_LOCAL_MACHINE

    Los ajustes de configuración que se aplican a una computadora determinada se almacenan aquí (los ajustes se establecen simultáneamente para todos los usuarios). Por ejemplo, contiene información sobre la configuración de la computadora, controladores y programas instalados, nombres de puertos, parámetros del sistema de archivos, etc.

    Sección HKEY_USERS

    Este hilo contiene información sobre los perfiles de todos los usuarios de esta computadora (nombre de usuario, configuración del escritorio, etc.). Esta sección también almacena la configuración predeterminada para el escritorio, el menú Inicio, etc. Son necesarios cuando un nuevo usuario inicia sesión por primera vez. En este punto, la configuración predeterminada se copia en su perfil y todos los cambios adicionales realizados por el usuario se guardarán en esta rama.

    Sección HKEY_CURRENT_CONFIG

    La clave es responsable de los dispositivos Plug&Play y contiene información sobre la configuración actual de la computadora con una composición variable de dispositivos, como tarjetas flash, impresoras, faxes, unidades externas, etc. Esta sección también contiene información sobre el perfil de hardware actual que utiliza la computadora cuando se inicia el sistema.

    HKEY_DYN_DATA

    Esta sección sólo está disponible en el registro de la familia de sistemas operativos Windows 9x/ME. Contiene datos que cambian dinámicamente sobre la computadora (carga del procesador, tamaño del archivo de paginación, etc.)

    ¿Cómo editar el registro?

    Es simple en la búsqueda de Windows, escriba regedit e inicie el editor de registro como administrador. ¡Antes de realizar cualquier operación en el registro, debe realizar una copia de seguridad! Si algo sale mal, puede volver a la versión funcional del registro.


    Optimización del registro.

    Existe debate sobre si vale la pena optimizar el registro de Windows. Yo diría que la optimización es más útil para ordenadores más débiles que para ordenadores potentes. Pero hay un matiz más: a veces, la configuración del registro no limpiada puede causar fallas y conflictos de software y hardware, por lo que recomiendo limpiar el registro de datos innecesarios.


    Además, el registro se fragmenta con el tiempo, esto también ocurre debido a las purgas. Por lo tanto, para aquellos que limpian constantemente el registro, también recomiendo a veces desfragmentarlo.

    Para optimizar el registro de Windows, puede utilizar los programas WinOptimizer, Reg Organizer, Auslogics Boostspeed.


    Si tienes alguna pregunta, mira el vídeo de arriba.

        El registro (registro del sistema) es una base de datos jerárquica que contiene entradas que definen los parámetros y configuraciones de los sistemas operativos Microsoft Windows. El registro, tal como aparece cuando lo ve el Editor del Registro, se crea a partir de datos que provienen de archivos de registro e información de hardware recopilados durante el proceso de arranque. Al describir archivos de registro en inglés, se utiliza el término "Hive". En algunas obras se traduce al ruso como "colmena". Microsoft traduce esto como "Bush" en sus documentos. Los archivos de registro se crean durante el proceso de instalación del sistema operativo y se almacenan en la carpeta %SystemRoot%\system32\config (normalmente C:\windows\system32\config). Para los sistemas operativos Windows 2000/XP, estos son archivos llamados
    por defecto
    sam
    seguridad
    software
    sistema
    .Durante el proceso de descarga, el sistema obtiene acceso exclusivo a estos archivos y, por lo tanto, no puede hacer nada con ellos utilizando herramientas estándar para trabajar con archivos (abrir para verlos, copiarlos, eliminarlos, cambiarles el nombre). Para trabajar con el contenido del registro del sistema, se utiliza un software especial: editores de registro (REGEDIT.EXE, REGEDT32.EXE), que son componentes estándar del sistema operativo. Para iniciar el registro utilice "Inicio" "Ejecutar" - regedit.exe

        En la mitad izquierda de la ventana verá una lista particiones raíz (claves raíz) registro Cada partición raíz puede incluir secciones anidadas (subclaves) Y parámetros (entradas de valores).
    Brevemente sobre el propósito de las particiones raíz:
    HKEY_CLASSES_ROOT (abreviatura de HKCR): asociaciones entre aplicaciones y extensiones de archivos e información sobre objetos COM y ActiveX registrados.
    HKEY_CURRENT_USER (HKCU): configuración para el usuario actual (escritorio, configuración de red, aplicaciones). Esta sección es un enlace a la sección HKEY_USERS\Identificador de usuario (SID) en el formulario S-1-5-21-854245398-1035525444-...
    SID es un número único que identifica a un usuario, grupo o cuenta de computadora. Se asigna a la cuenta cuando se crea. Los procesos internos de Windows acceden a las cuentas por sus códigos de seguridad en lugar de por nombres de usuarios o grupos. Si elimina y luego vuelve a crear una cuenta con el mismo nombre de usuario, los derechos y permisos otorgados a la cuenta anterior no se conservarán para la cuenta nueva porque sus códigos de seguridad serán diferentes. La abreviatura SID se deriva de Security ID. Para ver la correspondencia entre SID y nombre de usuario, puede utilizar la utilidad PsGetSID.exe del paquete
    HKEY_LOCAL_MACHINE (HKLM): configuración global de hardware y software del sistema. Aplicable a todos los usuarios. Esta es la parte más grande e importante del registro. Aquí se concentran los principales parámetros del sistema, hardware y software.
    HKEY_USERS(HKU): configuración de entorno individual para cada usuario del sistema (perfiles de usuario) y un perfil predeterminado para los usuarios recién creados.
    HKEY_CURRENT_CONFIG (HKCC): configuración para el perfil de hardware actual. Generalmente solo hay un perfil, pero es posible crear varios usando “Panel de control” - “Sistema” - “Hardware” - “Perfiles de hardware”. De hecho, HKCC no es una clave de registro completa, sino simplemente un enlace a una clave de HKLM.
    HKLM\System\CurrentControlSet\CurrentControlSet\Perfiles de hardware\Current

        Las capacidades de un usuario en particular al editar datos de registro están determinadas por sus derechos en el sistema. Más adelante en el texto, se supone, a menos que se indique lo contrario, que el usuario tiene derechos de administrador del sistema.
        En realidad, en la sección raíz de HKLM hay 2 subsecciones más llamadas SAM y SEGURIDAD, pero el acceso a ellas solo está permitido desde la Cuenta del sistema local, bajo la cual generalmente se ejecutan los servicios del sistema. Es decir, para acceder a ellos, necesita iniciar el editor de registro con derechos del sistema local, para lo cual puede usar
    psexec.exe -i -s regedit.exe
    Una descripción detallada de la utilidad se encuentra en la página "Utilidades PSTools".

        Durante la carga y el funcionamiento del sistema operativo, se accede constantemente a los datos del registro tanto para lectura como para escritura. Incluso una configuración incorrecta en el registro puede provocar un fallo del sistema, al igual que la integridad de los archivos individuales. Por tanto, antes de experimentar con el registro, ocúpese de la posibilidad de guardarlo y restaurarlo.


    Guardar y restaurar el registro1. Usando puntos de restauración

        En Windows XP, existe un mecanismo mediante el cual, si surgen problemas, puede restaurar la computadora a su estado anterior sin perder archivos personales (documentos de Microsoft Word, lista de páginas vistas, imágenes, archivos favoritos y mensajes de correo electrónico). . El sistema crea automáticamente los puntos de restauración cuando la computadora está inactiva, así como durante eventos importantes del sistema (como la instalación de una aplicación o un controlador). El usuario también tiene la posibilidad de forzarlos en cualquier momento. Estos puntos de restauración le permiten devolver el sistema al estado en el que fueron creados.
        Para trabajar con puntos de recuperación, utilice la aplicación \windows\system32\restore\rstrui.exe (Inicio - Programas - Accesorios - Herramientas del sistema - Restaurar sistema).

    Los datos del punto de control de recuperación se almacenan en el directorio de información del volumen del sistema del disco del sistema. Este es un directorio oculto del sistema, cuyo acceso solo está permitido a la cuenta del sistema local (Sistema local, es decir, "Servicio de restauración del sistema"). Por lo tanto, si desea acceder a su contenido, deberá agregar los derechos de su cuenta usando la pestaña "Seguridad" en las propiedades del directorio "Información del volumen del sistema". En la carpeta System Volume Information hay un subdirectorio con un nombre que comienza con _restore... y dentro de él hay subdirectorios RP0, RP1...: - estos son los datos de los puntos de recuperación (Punto de restauración - RPx). Dentro de la carpeta RPx hay un directorio de instantáneas que contiene copias de los archivos de registro en el momento en que se creó el punto de control. Cuando realiza una operación de restauración del sistema, se restauran los archivos principales del sistema y los archivos de registro. El mecanismo es bastante eficaz, pero sólo se puede utilizar en el propio Windows. Si el sistema está tan dañado que la carga es imposible, todavía hay una salida a la situación. Cómo: lea la sección "Problemas al cargar el sistema operativo" del artículo

    2. Uso de la utilidad de copia de seguridad/restauración NTBACKUP.EXE

        Windows 2000 no tiene un mecanismo de punto de restauración. Sin embargo, como en Windows XP, existe una utilidad de archivo, o más precisamente, una utilidad de copia de seguridad y restauración NTBACKUP.EXE, que le permite hacer casi lo mismo que se hace al crear puntos de restauración (e incluso mucho más). NTBACKUP le permite crear un archivo del estado del sistema a partir de 2 partes: un disquete de arranque, que le permite realizar la recuperación incluso en un sistema que no es de arranque, y el archivo real de datos para la recuperación (en forma de un archivo normal con la extensión .bkf, guardado en su disco duro o medio extraíble). Para obtener una copia del estado del sistema, haga clic en "Inicio" - "Ejecutar" - ntbackup.exe

    Lanzamos y le decimos que necesitamos archivar el estado del sistema.

    Y dónde almacenar los datos de archivo

        Después de completar el asistente, se creará un archivo del estado del sistema (D:\ntbackup.bkf). Con el "Asistente de restauración" siempre puede devolver el estado del sistema en el momento en que se creó el archivo.

    3. Usando la utilidad para trabajar con el registro desde la línea de comando REG.EXE

        En Windows 2000, la utilidad REG.EXE está incluida en el paquete de herramientas de soporte (también puede usar REG.EXE desde Windows XP; simplemente cópielo en el directorio \winnt\system32). Se ejecuta desde la línea de comando. Cuando se inicia sin parámetros, muestra una breve ayuda sobre cómo usarlo:

    Programa para editar el registro del sistema desde la línea de comando, versión 3.0
    (C) Corporación Microsoft, 1981-2001. Reservados todos los derechos

    Operación REG [Lista de parámetros]

    Operación == [ CONSULTA | AÑADIR | BORRAR | COPIAR |
    GUARDAR | CARGAR | DESCARGAR | RESTAURAR |
    COMPARAR | EXPORTACIÓN | IMPORTAR]

    Código de retorno: (excepto REG COMPARE)
    0 - Exitoso
    1 - Con un error

    Para obtener ayuda para una operación específica, ingrese:
    Operación REG /?

    Ejemplos:

    CONSULTA DE REGISTRO /?
    REGISTRAR AÑADIR /?
    BORRAR REGISTRO /?
    COPIA DE REGISTRO /?
    REGISTRAR GUARDAR /?
    RESTAURAR REGISTRO /?
    CARGA DE REGISTRO /?
    DESCARGAR REGISTRO /?
    REGISTRAR COMPARAR /?
    EXPORTACIÓN REGISTRADA /?
    IMPORTAR REGISTRO /?

    Para hacer una copia de seguridad del registro utilice REG.EXE SAVE, para restaurar - REG.EXE RESTORE

    Para ayuda

    REG.EXE GUARDAR /?
    REG SAVE sección Nombre de archivo

    Sección: ruta completa a la clave de registro en el formato: ROOT\Subkey
    RAÍZ - Sección raíz. Valores: [HKLM | HKCU | RCHK | HKU | Hong Kong, China].
    subclave: ruta completa a la clave de registro en la sección raíz seleccionada.
    Nombre de archivo: el nombre del archivo guardado en el disco. Si no se especifica la ruta, el archivo
    es creado por el proceso de llamada en la carpeta actual.

    Ejemplos:
    REGISTRAR GUARDAR HKLM\Software\MyCo\MyApp AppBkUp.hiv
    Guarda la sección MyApp en el archivo AppBkUp.hiv en la carpeta actual

        La sintaxis de REG SAVE y REG RESTORE es la misma y queda bastante clara en la ayuda. Sin embargo, hay algunos puntos. En la versión de Windows 2000 de la utilidad, era imposible especificar la ruta en el nombre del archivo para guardar una clave de registro y el guardado se realizaba sólo en el directorio actual. Se puede utilizar la ayuda de la propia utilidad y ejemplos de su uso para guardar (REG SAVE) para guardar cualquier clave de registro, incl. HKLM\software, HKLM\sistema, etc. sin embargo, si intenta restaurar, por ejemplo, HKLM\system, recibirá un mensaje de error de acceso debido a que la clave de registro está ocupada y, como siempre está ocupada, la restauración mediante REG RESTORE fallará.

    Para guardar la colmena SISTEMA:
    REG GUARDAR HKLM\SYSTEM system.hiv
    Para guardar la colmena de SOFTWARE:
    REG GUARDAR HKLM\SOFTWARE software.hiv
    Para guardar el casquillo PREDETERMINADO:
    reg guardar HKU\.Default default.hiv

    Si el archivo existe, REG.EXE generará un error y saldrá.

        Los archivos guardados se pueden utilizar para restaurar el registro copiándolos manualmente en la carpeta %SystemRoot%\system32\config.

    4. Copiar manualmente los archivos de registro.

        Si inicia otro sistema operativo, puede hacer lo que quiera con los archivos de la carpeta de registro. Si el archivo del sistema está dañado, puede utilizar, por ejemplo, el archivo system.hiv guardado con REG SAVE, copiarlo a la carpeta de registro y cambiarle el nombre a sistema. O realice la misma acción utilizando una copia guardada del archivo del sistema desde el punto de control de recuperación. Este método de restauración del registro se describe con cierto detalle en el artículo "Problemas al cargar el sistema operativo".

    5. Usando el modo de exportación-importación del registro.

    El Editor del Registro le permite exportar tanto el registro completo como las secciones individuales a un archivo con la extensión registro Importar el archivo de registro obtenido durante la exportación le permite restaurar el registro. Haga clic en "Registro" -> "Exportar (Importar) archivo de registro". La importación también se puede realizar haciendo doble clic en el acceso directo al archivo de registro.

    6. Usar utilidades especiales para trabajar con registros de terceros.

        Existen muchos programas de terceros para trabajar con el registro, que le permiten no solo guardar y restaurar datos del registro, sino también realizar muchas otras operaciones útiles, como diagnosticar y eliminar datos erróneos o innecesarios, optimización, desfragmentación, etc. La mayoría de ellos son de pago: jv16 Power Tools, Registry Mechanic, Super Utilities Pro, Reg Organizer y otros. Lista y breve descripción en secutiylab.ru
    Las principales ventajas de estos programas incluyen, por regla general, una interfaz de usuario simple, la capacidad de ajustar el sistema operativo y las preferencias del usuario, borrar registros innecesarios, capacidades avanzadas para buscar y reemplazar datos, copias de seguridad y recuperación.
        Quizás el software más popular para trabajar con el registro sea jv16 Power Tools de Macecraft Software. Las principales ventajas son la alta confiabilidad, versatilidad, simplicidad y facilidad de uso, soporte para varios idiomas, incl. Ruso. Sin embargo, no todo el mundo sabe que también existe una opción gratuita llamada Power Tools Lite. Por supuesto, está lejos de ser un jv16 completamente funcional, pero es bastante adecuado para buscar datos, limpiar y optimizar el registro. Observo que la copia de seguridad creada por este programa es solo un archivo de registro para restaurar el estado del registro antes de que se cambiara. Muchos (si no la mayoría) de los programas de registro crean copias similares, útiles sólo para restaurar los datos que modifican. Si el registro está dañado, no le ayudarán. Por lo tanto, al elegir un programa (especialmente gratuito) con la capacidad de realizar copias de seguridad del registro, comprenda qué copias crea. La opción ideal es un programa que cree copias de todas las colmenas del registro. Si tiene dicha copia, siempre puede restaurar completamente el registro simplemente copiando archivos. Recomendaría la utilidad de consola gratuita regsaver.exe Descargar, 380 kb
    Sitio web del programa.
    La utilidad guarda archivos de registro en el directorio especificado como parámetro de línea de comando:
    regsaver.exe D:\regbackup
    Después de ejecutar el programa, se creará un subdirectorio en el directorio D:\regbackup con un nombre único que consta del año, mes, día y hora en que se creó la copia de seguridad de los archivos de registro (“aaaammddhhmmss”). Después de completar la copia de seguridad, el programa puede apagar la computadora o ponerla en modo de suspensión:

    regsaver.exe D:\regbackup /off /ask - Apague la computadora. El interruptor /ask requiere confirmación del usuario al apagar la alimentación.
    regsaver.exe D:\regbackup /standby - Poner en modo de suspensión sin confirmación (no /ask)
    regsaver.exe D:\regbackup /hibernate /ask - Cambiar al modo Hibernar

    En lugar de un apagado estándar de la computadora, puede utilizar una copia de seguridad del registro y apagarlo cuando finalice.

    7. Restaurar el registro en ausencia de copias de seguridad.

        Por ejemplo, cuando inicia el sistema, ve un mensaje sobre la integridad de la sección de registro del SISTEMA:

    Windows XP no pudo iniciarse porque falta el siguiente archivo o está dañado: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

    Si no hizo una copia de seguridad de los datos del registro, el mecanismo para crear puntos de control de recuperación estaba deshabilitado o utilizó Win2K, donde este mecanismo simplemente no existe, todavía existe la posibilidad de reactivar el sistema iniciando en otro sistema operativo y restaurando el sistema. Incluso si el contenido de este archivo no está completamente actualizado, lo más probable es que el sistema siga operativo. Es posible que deba reinstalar algunos productos de software o actualizar los controladores.

  • - uso de archivos de registro de respaldo creados automáticamente por algún software. Abra la carpeta \Windows\system32\config y verifique si hay un archivo system.bak en ella (tal vez una extensión diferente a .alt y .log). cámbiele el nombre a sistema e intente arrancar.
  • - uso de los archivos guardados después de la instalación inicial desde el directorio \WINDOWS\REPAIR. Esta opción no es la más óptima, como último recurso.
  • - usar la función de recuperación del Editor del Registro de Windows XP al cargar una colmena dañada.
    El Editor del Registro le permite abrir no sólo "sus" archivos de registro, sino también archivos que son el registro de otro sistema operativo. En Windows 2000, se utilizó el editor regedt32.exe para cargar un archivo de registro (colmena) guardado en el disco; en Windows XP, se combinaron las funciones regedt32.exe y regedit.exe y, además, fue posible restaurar una colmena dañada. durante el arranque. Para esto

    Inicie Windows XP (Windows Live, Winternals ERD Commander instalado en otro directorio de WinXP, otra computadora con la capacidad de iniciar la sección de registro problemática a través de la red o desde un medio externo). Inicie el Editor del Registro.
    En el lado izquierdo del árbol de registro, seleccione una de las secciones:
    HKEY_USERS o HKEY_LOCAL_MACHINE.
    En el menú Registro (en otras versiones del editor de registro, este elemento del menú puede llamarse "Archivo"), seleccione el comando "Cargar subárbol".
    Encuentre el casquillo dañado (en nuestro caso, el sistema).
    Haga clic en el botón Abrir.
    En el campo Sección, ingrese el nombre que se asignará a la colmena cargada. Por ejemplo, BadSystem.
    Después de hacer clic en Aceptar aparecerá un mensaje:

    En la ventana izquierda del Editor del Registro, seleccione la colmena conectada (BadSystem) y ejecute el comando "Descargar colmena". El sistema dañado será restaurado. Además, el Editor del Registro de Windows XP restaurará con bastante éxito el registro del antiguo sistema operativo Windows 2000.


    Seguimiento del registro.     Uno de los mejores programas para monitorear el registro, desde mi punto de vista, es RegMon de Mark Russinovich, una utilidad pequeña y funcional que no requiere instalación y funciona en los sistemas operativos Windows NT, 2000, XP, 2003, Windows. Versiones de Windows de 95, 98, Me y 64 bits para arquitectura x64.

    Descargar RegMon.exe v7.04, 700kb
        Regmon le permite monitorear en tiempo real qué aplicaciones acceden al registro, qué secciones y qué información leen o escriben. La información se presenta en una forma conveniente que puede personalizar según sus necesidades: excluya de los resultados del monitoreo los datos sobre cómo trabajar con el registro de aplicaciones que no le interesan, resalte con el color seleccionado lo que considere especialmente importante, incluya solo procesos seleccionados en los resultados del seguimiento. El programa le permite iniciar rápida y fácilmente el Editor del Registro y navegar a una sección o parámetro específico. Es posible realizar una supervisión mientras el sistema operativo se carga y registra los resultados en un registro especial, %SystemRoot\Regmon.log.

        Después de iniciar RegMon, puede definir criterios de filtrado para los resultados de la supervisión del registro:

    De forma predeterminada, se registran todos los eventos de acceso al registro. El filtro se especifica mediante los valores de campo:
    Incluir - Si * - realizar el seguimiento de todos los procesos. Los nombres de los procesos están separados por ";" . Por ejemplo, FAR.EXE;Winlogon.exe: los accesos al registro se registrarán sólo para los procesos far.exe y winlogon.exe.
    Excluir: qué procesos excluir de los resultados del seguimiento.

    Resaltar: qué procesos se resaltan con el color seleccionado (rojo por defecto).

        Los valores del campo de filtro se recuerdan y se muestran la próxima vez que se inicia Regmon. Cuando hace clic en el botón Valores predeterminados, el filtro se restablece a su configuración predeterminada: registra todos los accesos al registro. Es más conveniente formar valores de campo de filtro no al inicio de RegMon, sino durante el proceso de monitoreo, usando el menú contextual para el proceso seleccionado - Incluir proceso - incluir este proceso en el monitoreo, Excluir proceso - excluir este proceso procedente del seguimiento. Después de iniciar Regmon con filtros predeterminados, verá una gran cantidad de entradas sobre el acceso al registro y, utilizando el proceso Incluir/Excluir, podrá configurar la salida de solo los resultados de los procesos que necesita.

    Propósito de las columnas:
    # - número en orden
    Proceso - nombre del proceso: identificador del proceso (PID)
    Solicitud: tipo de solicitud. OpenKey: abrir una clave de registro (subclave), CloseKey: cerrar, CreateKey: crear, QueryKey: verificar la presencia de una clave y obtener la cantidad de claves anidadas (subclaves), EnumerateKey: obtener una lista de nombres de subclaves de la sección especificada , QueryValue: lee el valor de un parámetro, SetValue: escribe el valor.
    Ruta: ruta en el registro.
    Resultado: el resultado de la operación. ÉXITO: ​​exitoso, NO ENCONTRADO: clave (parámetro) no encontrada. ACCESO DENEGADO: acceso denegado (derechos insuficientes). A veces hay un DESBORDAMIENTO DE BUFFER (desbordamiento de búfer): el resultado de la operación no cabe en el búfer del programa.
    Otro - información adicional - el resultado de la solicitud ejecutada.

        El programa es muy fácil de usar. Después de comenzar, es mejor seleccionar el filtro predeterminado, es decir. registre todos los accesos al registro y luego, en la ventana principal del programa, seleccione un proceso innecesario y use el botón derecho del mouse para abrir el menú contextual - Excluir proceso - no se mostrará información sobre el acceso al registro de este proceso. Y de la misma forma filtrar otros procesos que no sean de tu interés.

        Cuando trabaje con el programa, puede usar el menú Archivo, Editar, Opciones o el método abreviado de teclado:

    CTRL-S - guardar resultados
    CTRL-P - propiedades del proceso seleccionado
    CTRL-E - habilitar/deshabilitar el monitoreo
    CTRL-F - búsqueda por contexto
    CTRL-C: copia la línea seleccionada al portapapeles
    CTRL-T - cambiar formato de hora
    CTRL-X: borra la ventana de resultados de monitoreo
    CTRL-J: inicie el editor de registro y abra la rama especificada en la columna Ruta. La misma acción se realiza haciendo doble clic con el botón izquierdo del ratón. Una característica muy útil que ahorra mucho tiempo.
    CTRL-A: activar/desactivar el desplazamiento automático
    CTRL-H: le permite establecer el número de líneas de resultados de monitoreo

        Otra característica muy útil es obtener un registro de los accesos al registro durante el proceso de arranque del sistema operativo.
    Para hacer esto, seleccione el menú Opciones-Registro de inicio. El programa mostrará un mensaje que indica que Regmon está configurado para escribir los accesos al registro en un archivo de registro durante el próximo reinicio del sistema operativo:

        Después de reiniciar el sistema operativo, el archivo Regmon.log con un registro de los resultados del monitoreo se ubicará en el directorio raíz del sistema (C:\Windows). El modo de registro continuará hasta que el usuario que inició sesión ejecute Regmon.exe y solo ocurre durante un reinicio del sistema. Por supuesto, el contenido del registro no reflejará completamente todos los accesos al registro. Dado que Regmon en modo de inicio de registro se instala en el sistema y, después de reiniciar, se inicia como un controlador, todos los accesos al registro que se produjeron antes de su inicio no se registrarán en el registro. Sin embargo, la mayoría de ellos seguirán llegando allí y verá que habrá varios cientos de miles de solicitudes de este tipo.

    Para guardar y restaurar el registro, utilice la sección "Disco y archivos" - "SystemSaver". Para mantener y optimizar el registro - "Registro del sistema" - "RegistryFixer" y "RegistryDefrag".

    Además de la carpeta Inicio, las siguientes claves de registro se utilizan para iniciar programas:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Ejecutar
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    Las últimas 2 secciones (...Una vez) se diferencian en que los programas escritos en ellas se inician solo una vez y después de la ejecución los parámetros clave se eliminan.

    Las entradas en HKLM se aplican a todos los usuarios de la computadora. Para el usuario actual, el inicio está determinado por las claves en la sección HKU:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ejecutar
    Ejemplo de sección HKLM\...\RUN:

        En la ventana derecha verá una lista parámetros, cuyos valores son una cadena que hace referencia al programa. Cuando el usuario inicie sesión, se ejecutarán todos los programas enumerados. Elimine el parámetro: el programa no se iniciará. Pero no todo se puede borrar. Experimente cambiando la extensión exe a ex_.

        Además de los programas que se inician cuando un usuario se registra en el sistema, se inicia una gran cantidad de otros, que no siempre son obvios: estos son servicios del sistema (servicios), varios controladores, programas de shell (Shell), etc. . Además de los programas útiles (y a veces inútiles), se pueden ejecutar mediante inicio automático y virus que hayan ingresado al sistema. Más detalles sobre virus. Hay una gran cantidad de puntos para el posible inicio automático de módulos ejecutables, y para buscarlos en el registro es más conveniente utilizar programas especiales: monitores de ejecución automática, el más popular de los cuales es el que tiene una gama más amplia de capacidades que el programa de utilidad MSConfig incluido en Windows.

    No requiere instalación. Simplemente descargue Autoruns, descomprímalo y ejecute el archivo Autoruns.exe (autorunsc.exe - versión de consola). El programa mostrará qué aplicaciones están configuradas para iniciarse automáticamente y también presentará una lista completa de claves de registro y directorios del sistema de archivos que se pueden usar para configurar el inicio automático. Los elementos que muestra Autoruns pertenecen a varias categorías: elementos de inicio de sesión, complementos de Explorer, complementos de Internet Explorer (incluidos los objetos auxiliares del navegador (BHO)), archivos DLL de inicialización de aplicaciones, sustituciones de elementos, objetos, ejecutables de inicio temprano, archivos DLL de notificación de Winlogon, Servicios de Windows y proveedores de servicios multinivel de Winsock.
    Para ver los objetos lanzados automáticamente de la categoría requerida, simplemente seleccione la pestaña deseada.

        Para buscar entradas en el registro relacionadas con el objeto seleccionado, simplemente use el elemento "Ir a" en el menú contextual del botón derecho. Se iniciará el Editor del Registro y se abrirá la clave que le permite iniciarse.


    Conductores y servicios. La información sobre controladores y servicios del sistema (servicios) se encuentra en la sección
    HKLM\Sistema\CurrentControlSet\Servicios
    Cada conductor o servicio tiene su propia sección. Por ejemplo, "atapi" - para el controlador de disco duro IDE estándar, "DNScache" - para el servicio "Cliente DNS". Propósito de las claves principales:
    DisplayName - nombre para mostrar - lo que ve como un nombre significativo cuando utiliza, por ejemplo, elementos del panel de control.

    ErrorControl: modo de manejo de errores.
    0: ignorar (Ignorar) si hay un error al cargar o al inicializar el controlador, no se muestra ningún mensaje de error y el sistema continúa funcionando.
    1 - modo de procesamiento de errores normal (normal). El funcionamiento del sistema continúa después de que se muestra el mensaje de error. La configuración de ErrorControl para la mayoría de los controladores de dispositivos y servicios del sistema está establecida en 1.
    2 - modo especial (severo). Se utiliza para garantizar que se cargue la última configuración buena conocida (LastKnownGood).
    3 - error crítico. El proceso de descarga se detiene y se muestra un mensaje de error.

    Grupo: el nombre del grupo al que pertenece el controlador, por ejemplo: "Adaptadores de vídeo"

    ImagePath es la ruta y el nombre del controlador ejecutable. Los archivos de controladores suelen tener una extensión .sys y se encuentran en la carpeta \Windows\System32\DRIVERS\. Los archivos de servicio suelen ser .exe y se encuentran en \Windows\System32\.

    Inicio controla la carga y la inicialización. Determina en qué punto del inicio del sistema se carga e inicializa el controlador o servicio. Valores iniciales:
    0 - BOOT: el gestor de arranque carga el controlador.
    1 - SISTEMA: el controlador se carga durante la inicialización del kernel.
    2 - AUTO: el servicio se inicia automáticamente cuando se inicia el sistema.
    3 - MANUAL - el servicio se inicia manualmente.
    4 - DESACTIVAR - deshabilitado.
    Los controladores se cargan y los servicios se inician con parámetros de inicio de 0 a 2 antes de que el usuario se registre en el sistema. Para deshabilitar un controlador o servicio, simplemente establezca el valor de Inicio en 4. Deshabilitar controladores y servicios editando esta clave de registro es una operación bastante peligrosa. Si accidentalmente o sin saberlo desactiva un controlador o servicio, sin el cual la carga o el funcionamiento es imposible, se producirá un fallo del sistema (la mayoría de las veces, una pantalla azul de la muerte BSOD).


    Controladores y servicios para modo seguro. Cuando se inicia el sistema operativo, se utiliza un conjunto de parámetros de control de la sección de configuración actual para inicializar controladores y servicios.
    HKLM\Sistema\CurrentControlSet
    Cuando surgen problemas con el funcionamiento del sistema operativo, se suele utilizar el Modo seguro. La diferencia entre este modo y el arranque normal es que se utiliza la configuración mínima requerida de controladores y servicios del sistema, cuya lista se especifica en la sección:
    HKLM\Sistema\CurrentControlSet\Control\SafeBoot
    Subsecciones:
    Mínimo: lista de controladores y servicios que se inician en modo seguro
    Red: lo mismo, pero con soporte de red.

    Además de la sección HKLM\System\CurrentControlSet, el registro también contiene
    HKLM\Sistema\CurrentControlSet001
    HKLM\Sistema\CurrentControlSet002
    En su estructura, son idénticos a HKLM\System\CurrentControlSet y están destinados a la posibilidad adicional de restaurar la funcionalidad del sistema cargando la última configuración buena conocida del sistema. Las posibles opciones para cargar conjuntos de control están determinadas por el contenido de la sección:
    HKLM\Sistema\Seleccionar

    Actual: el conjunto de control que se utilizó para la carga actual.
    Predeterminado: conjunto de controles que se utilizará en el próximo inicio.
    LastKnownGood: conjunto de controles que se utilizará si se selecciona el modo de inicio Última configuración buena conocida.
    Fallido: un conjunto de control fallido que se creará si se selecciona el modo de inicio Última configuración buena conocida.
        Después de la descarga exitosa y el inicio de sesión del usuario, los datos de CurrentControlSet y ControlSet001 se copian a ControlSet002. Cuando la configuración cambia, los datos se escriben en CurrentControlSet y ControlSet001. Si el cambio de configuración provocó que el sistema fallara, es posible restaurarlo utilizando la última opción de inicio exitosa, que toma datos de ControlSet002. Después de iniciar exitosamente en este modo, aparecerá una nueva subclave con un conjunto de controles, ControlSet003, en caso de que necesite usar la última configuración válida conocida nuevamente. Cada vez que utilice la última configuración conocida, se incrementará el valor de ControlSet00x.

    Limitamos el acceso de los usuarios a los recursos.
    En la mayoría de los casos, para que los cambios realizados en el registro surtan efecto, debe reiniciar o cerrar sesión y volver a iniciarla. Los parámetros de la sección HKEY_CURRENT_USER se aplican al usuario actual del sistema. La configuración de la sección HKLM se aplica a todos los usuarios. Ocultar unidades lógicas Abrir la partición:
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
    y agréguele el parámetro DWORD NoDrives. El valor del parámetro determina las unidades A-Z que se ocultarán. La presencia de un "1" que comienza con el bit menos significativo de la palabra doble significa que no hay ninguna unidad lógica en "Mi PC".
    00000001 - sin unidad A, 00000002 - sin unidad B, 00000004 - sin unidad C, 0000000F - sin unidades A-F
    Agregaré que los discos ocultos de esta manera no son visibles solo para el Explorador y pueden ser accesibles desde otros programas (en FAR, por ejemplo). Pero otros programas se pueden ocultar o desactivar: ¿qué sigue? Cambiando el menú del botón "INICIO" NoRun =dword:00000001 no hay ningún botón "Ejecutar".
    NoLogOff=hex:01 00 00 00 (no dword sino hexadecimal) no "Finalizar sesión"
    NoFind =dword:00000001 - no hay ningún elemento "Buscar"
    NoFavoritesMenu =dword:00000001 no "Favoritos"
    NoRecentDocsMenu =dword:00000001 sin "Documentos"
    NoSetFolders =dword:00000001 no hay ningún "Panel de control" en el submenú "Configuración"
    NoSetTaskbar =dword:00000001 no hay "Barra de tareas" en el mismo lugar
    NoPrinters =dword:00000001 no hay "Impresoras" en el Panel de control
    NoAddPrinter =dword:00000001 no "Agregar impresora"
    NoDeletePrinter =dword:00000001 no "Eliminar impresora"
    NoDesktop =dword:00000001 Escritorio vacío
    NoNetHood =dword:00000001 no "Entorno de red"
    NoInternetIcon =dword:00000001 no hay ningún icono de Internet en el escritorio de Windows
    NoTrayContextMenu =hex:01,00,00,00 -Desactivar el menú contextual en la barra de tareas
    NoViewContextMenu =hex:01,00,00,00: deshabilite el menú contextual en el escritorio: para volver a activarlo, reemplace 01 con 00.
    NoFileMenu =hex:01,00,00,00 ocultar "Archivo" en la barra de menú superior del Explorador
    ClearRecentDocsOnExit =hex:01,00,00,00 no guarda la lista de documentos abiertos recientemente al salir del sistema.

    Las siguientes configuraciones se aplican a la clave de registro.
    HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\ Red

    NoNetSetup =dword:00000001 deshabilita el acceso al ícono de Red en el Panel de control
    NoFileSharingControl =dword:00000001 oculta el cuadro de diálogo de control de uso compartido de archivos e impresoras, evitando que los usuarios controlen la creación de nuevos archivos o impresoras compartidas.
    NoNetSetupIDPage =dword:00000001 oculta la pestaña "Identidad"
    NoNetSetupSecurityPage =dword:00000001 oculta la pestaña Control de acceso
    NoEntireNetwork =dword:00000001 oculta el elemento "Red completa" en Network Neighborhood
    NoWorkgroupContents =dword:00000001 oculta todo el contenido del grupo de trabajo en el entorno de red

    Las siguientes configuraciones se aplican a las restricciones para todos los usuarios porque se usa la clave HKLM en lugar de la clave HKEY_CURRENT_USER. Para editar datos debe tener derechos de administrador del sistema
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

    NoSecCPL =dword:00000001 deshabilita el acceso al icono "Contraseñas" en el Panel de control
    NoAdminPage =dword:00000001 oculta la pestaña "Administración remota"
    NoProfilePage =dword:00000001 oculta la pestaña "Perfiles de usuario"
    NoPwdPage "=dword:00000001 oculta la pestaña "Cambiar contraseñas"
    NoDispCPL =dword:00000001 deshabilita el acceso al icono de pantalla en el Panel de control
    NoDispAppearancePage =dword:00000001 oculta "Apariencia" en la ventana de propiedades de la pantalla
    NoDispBackgroundPage =dword:00000001 oculta el "Fondo" en la ventana de propiedades de la pantalla
    NoDispScrSavPage oculta el "Protector de pantalla" en la ventana Propiedades de pantalla
    NoDispSettingsPage =dword:00000001 oculta "Configuración" en la ventana de propiedades de la pantalla
    NoConfigPage =dword:00000001 oculta "Perfiles de hardware" en la ventana Propiedades del sistema
    NoDevMgrPage =dword:00000001 oculta la pestaña "Dispositivos" en la ventana de propiedades del sistema
    NoFileSysPage =dword:00000001 oculta el botón "Sistema de archivos..." en la pestaña "Rendimiento" en la ventana de propiedades del sistema
    NoVirtMemPage =dword:00000001 oculta el botón "Memoria virtual..." en la pestaña "Rendimiento" en la ventana de propiedades del sistema
    =dword:00000001 prohibir Regedit.exe o Regedt32.exe

        Algunas de las prohibiciones enumeradas sobre las acciones del usuario son utilizadas no solo por los administradores del sistema, sino también por los virus que han ingresado al sistema. Normalmente, se escriben datos en el registro que bloquean la capacidad de buscar y eliminar software malicioso integrado y, como toque final, prohíben el inicio del editor de registro (DisableRegistryTools).

    Como resultado, incluso con derechos de administrador, el usuario no puede hacer nada con su propio registro. Un intento de iniciar el editor termina con un mensaje como este:

    Por supuesto, el usuario, especialmente el administrador, debería ofenderse cuando "el administrador del sistema prohíbe editar el registro". Entonces agregué otra pequeña sección:
        Todas las restricciones anteriores pueden aplicarse a un usuario específico o a todos los usuarios del sistema, o más bien a sus cuentas. Sin embargo, en cada sistema operativo Windows hay otra cuenta, cuyos derechos, hasta cierto punto, son incluso superiores a los derechos del administrador local: la cuenta del sistema local (Cuenta del sistema local), en cuyo nombre se inician los servicios del sistema incluso antes. el usuario inicia sesión en el sistema. Si el programa (el mismo regedit.exe) se ejecuta con derechos de sistema local, no se aplicarán restricciones asociadas con las cuentas de ningún usuario real. Ya describí cómo iniciar el editor de registro con los derechos de una cuenta del sistema local usando la utilidad PSExec al principio del artículo, y allí también publiqué un enlace a la página de descarga y una descripción del paquete PSTools. Para aquellos que no necesitan descargar el paquete completo y necesitan, sin comprender las complejidades, simplemente evitar las restricciones: instrucciones paso a paso:
  • Descargue PSexec del paquete Microsoft PSTools (Sysinternals). (descargar PSTools.zip)
  • cópielo a la carpeta \WINDOWS\SYSTEM32
  • Inicie el editor de registro usando psexec:
    psexec -s -i regedit.exe
    Para operar psexec.exe necesita tener derechos de administrador, es decir. el usuario debe ser miembro del grupo de administradores
  • Hacemos las correcciones necesarias en el registro: configuramos DisableRegistryTools en 0 o lo eliminamos por completo. Después de lo cual usamos el editor de registro como de costumbre, eliminando las restricciones para iniciar el administrador de tareas, bloqueando los programas antivirus y cualquier otra cosa que haya hecho el virus.

        Por supuesto, puede encontrar otras opciones para eludir las restricciones, como descargar usando Winternals ERD Commander y editar el registro problemático, o usar la utilidad de línea de comandos REG.EXE (descargue un archivo bat para desbloquear el editor de registro y administrador de tareas), o un editor de registro de un fabricante externo, pero este método es el más inusual, simple y rápido. La singularidad de la solución a un problema suele tener la ventaja de que no existen restricciones a sus acciones que eludir, o aún no existen contramedidas preparadas previamente.
    Por cierto, este método se puede utilizar no solo para iniciar regedit.exe, sino también para otros programas, por ejemplo Explorer (Explorer.exe).
    psexec -s -i C:\WINDOWS\EXPLORER.EXE
    lo que le permitirá acceder a directorios y archivos que son inaccesibles para un usuario real, como la carpeta oculta del sistema System Volume Information.

    Una muy buena forma de evitar las restricciones es utilizar un editor de registro de terceros.

    Resplendent Registrar Registry Manager - aproximadamente 3 MB - en la versión "Lite Edition" - un editor de registro gratuito con una interfaz fácil de usar y funciones adicionales útiles para buscar, monitorear, desfragmentar, guardar y restaurar el registro.

    Un programa eliminado hace mucho tiempo se cuelga en la lista de programas instalados. Esto suele suceder si eliminó el programa manualmente en lugar de desinstalarlo, o si el desinstalador falla. Puede corregir la situación editando la sección:
    HKLM\Software\Microsoft\Windows\ CurrentVersion\UninstallTienes que especificar constantemente la ruta a la distribución de Windows Encuentra la sección
    HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
    y en el parámetro SourcePath especifique la ruta a su distribución: el valor de cadena "D:\install". Si cambia con frecuencia la configuración del sistema y tiene mucho espacio en disco, coloque la distribución en un directorio y regístrela en SourcePath. Problemas con la fuente rusa en algunos programas. Esto es especialmente cierto en sistemas operativos no rusificados, por ejemplo Windows NT 4.0 Server. Incluso si instaló fuentes rusificadas y especificó Rusia en la configuración regional, pueden surgir problemas con las fuentes cirílicas. Sección abierta
    HKLM\Software\Microsoft\Windows\CurrentVersion\FontSubstitutes
    e ingrese los parámetros:
    parámetro Sistema, valor 0 Sistema, 204
    Parámetro de mensajería, 0 Valor de mensajería, 204
    parámetro Arial,0 valor Arial,204
    parámetro Courier New,0 valor Courier New,204
    parámetro Times New Roman,0 valor Times New Roman,204
    Lo más probable es que estos parámetros ya estén allí, pero en lugar de 204 son 238. Para Windows 9X no existe dicha sección de registro y es necesario editar la sección del archivo WINDOWS\win.ini.
    También puede ser útil agregar el parámetro "1252" ="CP_1251.nls" a la sección HKLM\System\CurrentControlSet\Control\Nls\CodePage. Eliminación de la contraseña del protector de pantalla (ScreenSaver) Se establecen las configuraciones de escritorio para el perfil predeterminado. por la configuración de la clave de registro
    HKEY_USERS\.DEFAULT\Panel de control\Escritorio
    Configuración de escritorio del usuario actual: clave de registro
    HKCU\Panel de control\Escritorio
    Para eliminar la contraseña del protector de pantalla del escritorio del usuario actual, debe abrir la clave de registro
    HKCU\Panel de control\Escritorio
    y establezca el valor de la clave ScreenSaverIsSecure en cero.

    Para desactivar el protector de pantalla, establezca el valor ScreenSaveActive en 0

    Crear su propia ventana al iniciar sesión. Esto es útil cuando necesita advertir al usuario sobre algo. Sección HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
    Parámetros:
    LegalNoticeCaption = por ejemplo "¡Atención!" texto del título de la ventana
    LegalNoticeText = "Del 25 al 30 de cada mes, debe cambiar su contraseña" texto en la ventana Borrar nombre de usuario anterior Sección HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon
    DontDisplayLastUserName =dword:00000001 Impide el inicio del Editor del Registro y del Administrador de tareas. Para evitar que cualquier usuario inicie el editor de registro, utilice la sección HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    =dword:00000001 no puede ejecutarse
    =dword:00000000 permitido ejecutar
    DisableTaskMgr - =dword:00000001 tiene prohibido ejecutarse
    DisableTaskMgr - =dword:00000000 permitido para ejecutarse
    Para limitar el inicio del Editor del Registro y el Administrador de tareas para el usuario actual, se establecen valores similares en la sección
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies Contraseña requerida en Windows 9X El cliente de red de Microsoft debe estar instalado. Ya no puedes iniciar sesión presionando ESC
    Sección HKLM\Red\Inicio de sesión
    Parámetro MustBeValidated =dword:00000001 Cambiar el comportamiento de la computadora al apagar Sección HKLM\System\CurrentControlSet\Control\Shutdown
    El parámetro FastReboot es igual a 0 - apagado normal, igual a 1 - acelerado, lo que a menudo conduce a un reinicio Cambiar el idioma predeterminado en la ventana de inicio de sesión Si se utiliza la distribución del teclado ruso en la ventana de ingreso de contraseña, puede cambiar esto editando la sección HKEY_USERS\.DEFAULT\Keyboard Layout\ Preload. Tiene 2 parámetros de cadena: "1" y "2".
    Si los valores son iguales:
    1=00000409
    2=00000419
    entonces el diseño en la ventana de inicio de sesión pasará a ser inglés.
    Si asigna los valores a los parámetros al revés ("1"=00000419, "2"=00000409), el diseño se volverá ruso.


    • Popular en la categoría:
    Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
    Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
    leer
    Transferir contactos a un nuevo teléfono Android
    Transferir contactos a un nuevo teléfono Android
    leer
    Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
    Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
    leer
    Características clave de Kaspersky Rescue Disk
    Características clave de Kaspersky Rescue Disk
    leer
    
    Últimos artículos
    MacBook no se conecta a wifi MacBook no ve...
    leer
    Cómo ganar dinero con WebMoney
    leer
    Tableta "Supra": opiniones de clientes
    leer
    Ubicaciones de barcos en tiempo real
    leer
    Los mejores programas para Android Grabar llamadas desde...
    leer
    Eliminar a los no seguidores en Twitter
    leer
    Conexión a Internet en una computadora portátil: todo lo posible...
    leer
    Samsung Galaxy S IV es el nuevo buque insignia...
    leer
    Arriba