Introdução ao Windows - O que é o registro?

O QUE É O REGISTRO?

De acordo com a Microsoft, o Registro do Windows de 32 bits ( Windows 9x e Windows NT ) é um banco de dados hierárquico que centraliza e armazena todas as configurações de hardware e software do computador.

Banco de dados porque sua função primordial é o armazenamento de dados de configuração chamados valores. Hierárquico, porque como você terá a oportunidade de examinar, a estrutura do Registro é semelhante à estrutura hierárquica de uma árvore de diretórios e subdiretórios, o que confunde muitos usuários desavisados que imaginam que as chaves de Registro são realmente pastas ocultas do Windows existentes no disco.

ORIGENS DO REGISTRO

O primeiro esboço do Registro surgiu no Windows 3.1 com o arquivo Reg.dat. Na época era um tanto limitado, servindo exclusivamente para guardar informações sobre associações de arquivos (que permitiam que o comando associar do gerador de arquivos do Windows 3.1 funcionasse ) e também informasse sobre OLE ( Object linking and Embedding ) usadas pelos aplicativos clientes ou servidores OLE.

REGISTRO DO WINDOWS 98

A estrutura do Registro do Windows 98 é idêntica a do Windows NT XP e Seus sucessores. Sua única diferença consiste em novas informações que foram acrescentadas à cada versão a fim de dar suporte aos inúmeros novos recursos dessa nova versão, como drives DVD, barramentos USB (Universal Serial Bus) e Fire Wire, suporte a múltiplos monitores, aperfeiçoamentos na tecnologia infrared, tecnologia push, suporte aos novos drives etc. Isso faz aumentar o tamanho dos arquivos correspondentes ao Registro no disco rígido a cada versão Windows que é lançada.

A Microsoft afirma que embora não seja possível perceber nenhuma diferença significativa na estrutura do Registro, o código que o implementa, é sempre otimizado (em nível binário), de modo a aumentar a velocidade do seu processamento etc.

ARQUIVO DO REGISTRO DO WINDOWS 9X

Windows 98 armazena o conteúdo do Registro em dois arquivos chamados SYSTEM.DAT e USER.DAT. O primeiro armazena as chaves e sub-chaves relativas à configuração do hardware e do software. O segundo guarda as configurações específicas dos usuários.

ARQUIVOS DE CÓPIA DO REGISTRO DO WINDOWS 98

No Windows 98 as cópias dos arquivos do Registro são guardadas na pasta %WINDIR%\SYSBCKUP, uma pasta (oculta) que já existia desde o Windows 95 e servia para armazenar alguns drivers e dlls.

As cópias são armazenadas em pastas compactadas no formato cabinet, semelhantes às existentes no CD-ROM de instalação do Windows 98.

Cada pasta possui o nome RB00x no qual x é um número no qual pode variar de 0 a 5. O Windows cria no máximo 5 dessas pastas de backup e dentro de cada uma delas encontraremos a cópia dos seguintes arquivos:

SYSTEM.DAT

USER.DAT

SYSTEM.INI

WIN.INI CÓPIA MANUAL NO WINDOWS 98

Uma vez que o Windows esteja funcionando perfeitamente bem, é aconselhável criar uma cópia manual dos arquivos do registro. Para isso é necessário desativar os atributos hidden e system de USER.DAT e SYSTEM.DAT. Utilizamos, para isso, o utilitário ATTRIB.EXE existente na pasta COMMAND que sempre existe dentro do diretório do Windows.

Como \%WINDIR%\COMMAND está referenciado no path do Windows, podemos dar os comandos abaixo de dentro do diretório do Windows:

attrib c:\windows\*.da? -h -r -s -a

del c:\windows\*.dat

ren c:\windows\*.da? *.dat

attrib c:\windows\*.dat +h +r +s +a

Agora é possível usar o comando COPY para copiar ambos os arquivos para um local seguro.

Se você consegue "navegar" pelo Windows Explorer não sentirá nenhuma dificuldade em navegar pelo Editor de Registro.

O Registro é formado por 6 chaves básicas (listamos na ordem em que aparecem no Editor de Registro):

HKEY_CLASSES_ROOT

KEY_CURRENT_USER

KEY_LOCAL_MACHINE

HKEY_USERS

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA

Em cada chave é armazenado um tipo diferente de informação. Iremos ver como funciona cada chave e qual o tipo de informação há armazenada.

Sempre que possível iremos apresentar dicas que sejam válidas para todos os micros.

É muito importante notar que não há como fazermos um tutorial válido para todos os micros, pois em cada micro o Registro será um pouco diferente, já que os programas e periféricos instalados varia de micro para micro, mas vamos apresentar para você a maioria dos sistemas operacionais da Microsoft, desde o Windows 9X até o Vista.

HKEY_LOCAL_MACHINE

Essa é a chave mais importante do Registro Windows 98. É nela que estão armazenadas informações a respeito dos periféricos e programas instalados no micro - incluindo a configuração do próprio Windows 9x. Fisicamente falando, as informações dessa chave estão armazenadas no arquivo System.dat. Essa chave possui as seguintes sub-chaves.

Config: Armazena configurações para os Perfis de Hardware instalados no micro. Na maioria das vezes temos somente um perfil de hardware instalado e, daí, essa chave normalmente apresenta somente uma subchave - 0001 - que contém informações sobre esse único perfil. Caso você crie novos perfis de hardware (o que pode ser feito através da guia Perfis de Hardware do ícone Sistema do Painel de Controle) novas chaves são criadas. Durante o boot o Windows 9x carrega a configuração do perfil de hardware selecionado para a máquina.

Enum: Informações sobre o hardware do micro.

hardware: Informações sobre portas seriais e modems utilizados pelo programa HyperTerminal (como você pode reparar, o nome dessa chave pode enganar muita gente).

Network: Informações criadas quando um usuário se conecta a um micro conectado em rede. Armazena informações como nome do usuário, logon, tipo de servidor, etc.

Security: Informações sobre a segurança da rede e administração remota.

SOFTWARE: Informações e configurações de programas instalados no micro. Nessa chave as informações são armazenadas no padrão fabricante/programa/versão /configurações.

Por exemplo, configurações do programa Photoshop são armazenadas na chave Adobe/Photoshop/4.0. Interessante notar que as configurações do próprio Windows estão armazenadas nessa chave, em Microsoft/Windows.

System: Essa chave comanda o carregamento de drivers durante o boot e demais configurações do sistema operacional. A subchave Control contém informações utilizadas durante o carregamento do sistema operacional, enquanto a subchave Services contém informações sobre o carregamento de drivers de dispositivo.

HKEY_USERS

O Windows 9x permite que mais de usuário utilize um mesmo micro, cada um com suas configurações particulares, tais como proteção de tela, papel de fundo, atalhos presentes na área de trabalho, etc. A escolha do usuário é feita no logon do Windows, quando o sistema pede o nome do usuário e sua senha. Essa chave armazena as configurações do sistema para cada usuário e fisicamente está armazenada no arquivo User.dat.

Quando o sistema está configurado para o acesso por apenas um usuário, a chave HKEY_USER contém apenas uma subchave, .default, contendo todas as configurações pessoais do sistema (proteção de tela, papel de parede, etc).

No caso de haver mais de um usuário configurado no sistema, quando ele faz logon no sistema, essa chave conterá suas configurações pessoais. Por exemplo, no caso de haver um usuário chamado Adonel, existirá uma chave chamada "Adonel" quando esse usuário entrar no sistema. A chave .default continuará existindo, contendo as configurações padrão do sistema.

Interessante notar que nessa chave só estão disponíveis as configurações pessoais do usuário que fez logon do sistema.

Se no mesmo micro existir um outro usuário chamado Maria, a chave "Maria" só existirá quando o próprio usuário logon no sistema, de forma que um usuário não consiga ver nem alterar configurações de outro usuário (ou seja, o usuário Maria não conseguirá ver as configurações do Adonel e vice-e-versa).

HKEY_CURRENT_USER

Essa chave é um atalho para a chave do usuário que fez logon no sistema. Ou seja, se o usuário "Adonel" foi quem fez logon no sistema, essa chave apontará para a chave HKEY_USERS\Adonel. Portanto, fisicamente essa chave não existe, pois apenas aponta para outra parte do registro.

HKEY_CLASSES_ROOT

Essa chave é um atalho para a chave

HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Essa chave existe para manter compatibilidade com programas de 16 bits, pois no registro do Windows 3.x só havia uma única chave principal no registro, chamada HKEY_CLASSES_ROOT. Da mesma forma que a chave anterior, essa chave não existe fisicamente; ela apenas aponta para outra área do registro.

HKEY_CURRENT_CONFIG

Essa chave também é um atalho (ou seja, não existe fisicamente, apenas aponta para outra área do registro), desta vez para HKEY_LOCAL_MACHINE\Config\xx, onde xx é o perfil de hardware que está atualmente configurado. Como na maioria dos micros só há um único perfil de hardware configurado, normalmente essa chave aponta para HKEY_LOCAL_MACHINE\Config\0001.

Você pode saber qual é o perfil de hardware que está sendo atualmente utilizado no sistema lendo o valor presente em HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\ConfigDB.

HKEY_DYN_DATA

Todas as configurações armazenadas nas chaves anteriores são estáticas, ou seja, são armazenadas em algum lugar do disco rígido (em geral nos arquivos System.dat e User.dat). A chave HKEY_DYN_DATA contém informações dinâmicas e que existem somente na sessão atual.

Essas informações são lidas durante o boot da máquina e contém informações como a lista de dispositivos Plug and Play instalados no micro (essas informações são armazenadas na subchave Config Manager\Enum). Essas informações ficam armazenadas em memória RAM e, portanto, são criadas a cada boot da máquina.

Adonel  Bezerra

Pós-graduado em Teoria em Educação a Distância e Docência do Ensino Superior;

MBA Executivo em Coaching;

Coordenador de cursos de pós-graduação.

Experiência em Gestão de Negócios, envolvendo-se com as áreas administrativa, financeira, comercial, produção e logística;

Experiência de mais de 20 anos como professor conferencista na área de segurança da informação;

Sólida experiência na gestão de negócios e tecnologia da informação;

Sólida experiência no meio acadêmico; 

Consultor de Segurança da informação com mais de vinte anos de experiência;

Treinamentos e palestras ministrados para milhares de profissionais em todo o Brasil;

Livro publicado pela Editora Ciência Moderna e diversos artigos publicados.

 

ALGUMAS PARTICIPAÇÕES COMO CONFERENCISTA OU PALESTRANTE

Centro Universitário do Maranhão – UniCeuma/2009 – Apresentação “O MERCADO DE CONSULTORIA EM SEGURANÇA DE INFORMAÇÃO. 

Universidade de Fortaleza|UNIFOR – Apresentação “TÉCNICAS HACKERS PARA TESTES DE INVASÃO”.

Faculdades Integradas do Ceará – FIC/2010 – Apresentação “ SEGURANÇA DA INFORMAÇÃO”.

Escola de Gestão Pública do Estado do Ceará – /2012 – Apresentação “ SEGURANÇA DA INFORMAÇÃO COM SOFTWARE LIVRE”.

Faculdade La Salle – 2013 – Apresentação “ESPIONAGEM INTERNACIONAL”.

Estácio|FIC/2013 – Apresentação “ ANÁLISE DE VULNERABILIDADES COMO FATOR PRIMORDIAL NAS ORGANIZAÇÕES”.

Estácio|FIC/2015 – Apresentação “PROVA DE CONCEITO”.

Devry Brasil|FANOR Salvador/BA, Fortaleza/CE, Belém/PA, Caruaru/PE, Recife/PE, Teresina/PI    - Apresentação “ VULNERABILIDADES DE SISTEMAS COMPUTACIONAIS”.

 

PROJETO PESSOAL – 1998 – Até o momento

- Fundador e Mantenedor de um dos maiores portais de Segurança de sistema do Brasil, o portal Clube do Hacker; www.clubedohacker.com.br

Fundador e mantenedor da Academia Linux www.academialinux.com.br

Fundador da BUCOIN – www.bucoin.com.br