Monitoriza los cambios y salud del registro de Windows fácilmente

0

RegistryEsta guía te ayudará a comprender el registro de Windows y monitorizar los cambios realizados en el mismo, debido a operaciones autorizadas o malware.

El Registro de Windows es una de las zonas del sistema operativo de Microsoft menos visitadas. Y conocidas. Quizá por el poco glamour que tienen esos interminables árboles de claves y carpetas. Sin embargo, su conocimiento es recomendable por la gran importancia que tienen, ya que actúan como espina dorsal del sistema. Un registro de Windows corrupto puede causar múltiples problemas, desde inestabilidad a un fallo total de Windows.

Eso es cosa del informático

Lo cierto es que el usuario común se ve muy alejado de este tipo de operaciones, sobre todo porque el Registro de Windows no está diseñado con una interfaz amigable en mente. Sin embargo, si sabemos lo que hacemos, podemos desde él aumentar el rendimiento del PC, modificar su comportamiento, modificar su aspecto y mucho más. Obviamente, si no somos conscientes de lo que tocamos pasará al contrario y conoceremos de cerca las BSOD.

Tenemos buenas noticias: no es necesario ser un gurú de la tecnología para obtener beneficios del Registro de Windows. Existen herramientas (que os vamos a presentar) que simplificarán vuestras operaciones con él y os permitirán arreglar problemas rápidamente.

Pasos básicos con el Registro de Windows

Para interactuar con el Registro de Windows en sus diferentes variantes: Windows 7, 8 o 10 debemos hacer uso de la herramienta Regedit. Su estructura y forma de iniciar la aplicación no varían. Podemos buscarla por su nombre en la barra de búsqueda de Windows o, más fácil aún:

  • Presionar Tecla Windows + R. En el cuadro de diálogo “Ejecutar” escribir regedit y presionar INTRO.
Abrir el registro de Windows - Regedit

Abrir el registro de Windows – Regedit

Imaginaremos que Regedit es como el supervisor de proyectos de Windows. Se encarga de administrar los diferentes elementos relativos al software del sistema, por ejemplo regulando lo que un usuario puede o no hacer cuando arranca una aplicación. Esto puede sernos de utilidad cuando Windows se empieza a comportar de forma anormal.

Ventana del registro de Windows

Muchas veces, los comportamientos extraños e inestabilidades del sistema se deberán a virus o modificaciones malintencionadas de ciertas claves del Registro de Windows. También hay que decir que, para modificar ciertos parámetros del equipo, es necesario hacerlo desde el Registro de Windows, ya que no están presentes en otro sitio. Por supuesto (aunque el propio registro puede hacer una copia de sí mismo) nos conviene ayudarnos de herramientas capaces de indicarnos cambios no deseados o que no han salido como planeamos.

1. Registrar

Resplandence nos ofrece Registrar como una solución de administración del Registro de Windows cuyo uso es gratuito para usuarios normales. Está pensado para ejercer un control máximo y a la vez sencillo del registro.

Descargaremos Registrar aquí. Es gratuito para uso no profesional. Una vez lo instalemos y arranquemos, aparecerá esta pregunta, a la que responderemos Yes:

Responderemos que SI a esta pregunta

Esto creará ciertos bookmarks sobre entradas clave del Registro, que nos serán útiles en adelante para monitorizar cambios. Después veremos el menú principal:

Menú principal de Registrar

Menú principal de Registrar

A pesar de parecerse aquí a la utilidad Regedit de Windows, la barra de tareas esconde funciones avanzadas. Podemos llevar a cabo operaciones de búsqueda y cambio en un paso, marcar como favoritos ciertos elementos o claves del Registro para monitorizarlos a conciencia y, lo más interesante, ofrece descripciones sobre todas las claves y valores contenidos en él, pudiendo incluso añadir los nuestros.

Barra de herramientas

Podemos ver la utilidad de estas descripciones con hacer doble click sobre un elmento. Regedit solo muestra el nombre de la clave y valor al editarlos. Registrar los muestra y añade además a que categoría pertenece dicha clave, además de la descripción.

Elementos de trabajo en Registrar

Elementos de trabajo en Registrar

Añadir elementos a Favoritos nos permitirá hacerles un mejor seguimiento ante cambios. Es tan fácil como hacer click derecho sobre un elemento y escoger la opción Bookmark.

2. Regshot

Las buenas noticias para usuarios de Windows son, como hemos dicho, la flexiblidad y posibilidades de personalización que el Registro les ofrece. Las malas noticias son que, evidentemente, muchos cambios harán un daño excesivo al sistema si no se han tomado medidas.

Regshot es una utilidad open source que nos permite monitorizar los cambios que se hayan podido llevar a cabo en el Registro de Windows. Es una de las mejores herramientas de este tipo. Podéis bajarlo aquí.

  • Lanzaremos el programa Regshot mediante uno de los 4 accesos creados: 2 de codificación ANSI para 32/64 bits y 2 con codificación UNICODE para 32/64 bits.
  • El programa es extremadamente sencillo de usar. Solo tenemos que escoger un path o ruta de destino (donde guardar los resultados), el tipo de salida (documento de texto o HTML) y hacer click sobre el botón 1st shot (primera pasada)

regshot 1

  • La opción Shot realizará un análisis actual del registro y lo guardará en la memoria RAM, a la espera de realizar la segunda pasada. También podemos guardar la revisión si, por ejemplo, pretendemos contrastarlo de aquí a un tiempo:

regshot 2

  • Ahora indicaremos a Regshot que realice una segunda comprobación del estado del disco.

regshot 3

  • Tras pulsar el botón “Compare”, esperaremos uno segundos y el programa generará un archivo con diferencias, como se aprecia en esta imagen:
Resultados de cambios detectados por Regshot en el Registro de Windows

Resultados de cambios detectados por Regshot en el Registro de Windows

3. Comando REG de Windows

Una herramienta bastante desconocida para la mayoría de usuarios es la que nos ofrece el comando Reg de Windows. Podemos lanzarlo de esta forma:

  • Pulsar tecla de Windows + R y presionar INTRO

Con esta herramienta podemos realizar comprobaciones de valores del registro, añadir o cambiar estos valores y exportar o importar claves.

Por ejemplo, si queremos monitorizar el directorio de Archivos Comunes que usa Windows, deberemos hacerlo escribiendo lo siguiente

Reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion /v CommonFilesDir

El resultado aparecerá cuando confirmemos con INTRO la orden:

Comando reg de Windows

Si queremos realizar comprobaciones periódicas de una serie de claves del Registro, para saber si se han borrado o modificado (ya sea por virus o acción voluntaria), podemos crear un archivo batch que pregunte a todas las claves y mande la salida a un fichero. Un ejemplo sería el siguiente:

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion /v CommonFilesDir >> c:\temp\cambiosregistro.txt
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion /v ProgramFilesDir >> c:\temp\cambiosregistro.txt
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion /v ProgramFilesPath >> c:\temp\cambiosregistro.txt

Al ejecutar el archivo .BAT y consultar la ruta donde hemos programado la salida de datos (c:\temp\cambiosregistro) veremos un resultado como este:

comando reg 2

Otras operaciones con REG

Con este comando también podemos añadir claves y valores nuevos al Registro de Windows, escribiendo:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CLAVEDEPRUEBA

comando reg 3

Evidentemente, no tiene sentido añadir una clave de prueba como hemos hecho en este caso, pero así sabréis el método a seguir.

Con el comando Reg, también podemos invocar su función “export” para tomar una instantánea del Registro de Windows en ese momento. Por ejemplo, si queremos extraer toda la cadena referente a CURRENT VERSION, basta con escribir lo siguiente:

reg export HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion c:\CurrentVersionExport.txt

Una vez hayáis salvado todas las instantáneas, podéis importarlas de nuevo al Registro mediante el comando:

“reg import [nombre de archivo]”

4. Process Monitor – Windows Sysinternals

Por último, acabaremos mencionando la estupenda herramienta diseñada por Mark Russinovich para Microsoft: Windows Sysinternals.

Esta aplicación también tiene capacidades para detectar cambios en el Registro de Windows (y en tiempo real, además) entre otros muchos datos sobre procesos y consumo de recursos del equipo:

procmon

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR