Manual Completo de REGEDIT y HKEY para Windows

Introducción al Editor del Registro de Windows

El Editor del Registro (REGEDIT) es una herramienta poderosa de Windows que permite ver y modificar la base de datos de configuración del sistema operativo. El registro contiene información que Windows referencia continuamente durante su operación.

Advertencia: Modificar incorrectamente el registro puede causar problemas graves en el sistema. Siempre haga una copia de seguridad antes de realizar cambios.

Acceder al Editor del Registro

Para abrir REGEDIT:

Presione Win + R
Escriba regedit
Presione Enter

Estructura del Registro de Windows

El registro está organizado en una estructura jerárquica similar a las carpetas del sistema de archivos. Los componentes principales son:

Las cinco ramas principales (HKEY)

HKEY	Descripción
HKEY_CLASSES_ROOT (HKCR)	Contiene asociaciones de archivos y configuración de COM/OLE
HKEY_CURRENT_USER (HKCU)	Configuración del usuario actualmente logueado
HKEY_LOCAL_MACHINE (HKLM)	Configuración del hardware y software para todos los usuarios
HKEY_USERS (HKU)	Contiene configuraciones para todos los usuarios
HKEY_CURRENT_CONFIG (HKCC)	Información sobre el perfil de hardware actual

Tipos de valores en el registro

Tipo	Descripción
REG_SZ	Cadena de texto
REG_MULTI_SZ	Múltiples cadenas de texto
REG_EXPAND_SZ	Cadena con variables de entorno expandibles
REG_DWORD	Número de 32 bits
REG_QWORD	Número de 64 bits
REG_BINARY	Datos binarios

Operaciones Básicas con REGEDIT

1. Navegación

El registro se navega como el explorador de archivos, expandiendo las ramas con el símbolo + o haciendo clic en las flechas.

2. Crear una nueva clave

Seleccione la ubicación donde desea crear la nueva clave
Haga clic derecho → Nuevo → Clave
Asigne un nombre a la clave

3. Crear un nuevo valor

Seleccione la clave donde desea crear el valor
Haga clic derecho → Nuevo → Seleccione el tipo de valor
Asigne un nombre al valor
Haga doble clic para modificar sus datos

4. Eliminar una clave o valor

Seleccione el elemento a eliminar
Presione Delete o haga clic derecho → Eliminar
Confirme la eliminación

5. Exportar e importar claves

Exportar:

Seleccione la clave a exportar
Haga clic derecho → Exportar
Elija ubicación y nombre del archivo .reg

Importar:

Haga doble clic en el archivo .reg
Confirme que desea agregar la información al registro

Operaciones Avanzadas con REGEDIT

1. Modificar el registro desde la línea de comandos

Puede usar el comando reg en CMD o PowerShell:

Consultar un valor

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion" /v ProgramFilesDir

Agregar un valor

reg add "HKCU\Software\MyApp" /v SettingName /t REG_SZ /d "SettingValue"

Eliminar un valor

reg delete "HKCU\Software\MyApp" /v SettingName

Eliminar una clave completa

reg delete "HKCU\Software\MyApp" /f

2. Modificar permisos del registro

Seleccione la clave en REGEDIT
Haga clic derecho → Permisos
Seleccione el usuario o grupo
Asigne los permisos adecuados

3. Cargar y descargar hives del registro

Permite trabajar con partes del registro de otros usuarios o sistemas:

En REGEDIT, seleccione HKEY_USERS o HKEY_LOCAL_MACHINE
Archivo → Cargar hive
Seleccione el archivo (generalmente NTUSER.DAT para usuarios)
Asigne un nombre temporal
Para descargar: seleccione el hive y Archivo → Descargar hive

HKEY_CLASSES_ROOT (HKCR) en Profundidad

Esta rama combina información de HKLM\Software\Classes y HKCU\Software\Classes, dando prioridad a la configuración del usuario.

Estructura principal

Extensiones de archivo: .txt, .exe, etc.
CLSIDs: Identificadores de clases COM
Interfaces: Definiciones de interfaces
TypeLibs: Bibliotecas de tipos

Ejemplo práctico: Cambiar programa predeterminado

Para cambiar el programa que abre archivos .txt:

Navegue a HKCR\.txt
Verifique el valor (predeterminado) - probablemente "txtfile"
Navegue a HKCR\txtfile\shell\open\command
Modifique el valor (predeterminado) con la ruta al nuevo programa

Registrar un nuevo tipo de archivo

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.myext]
@="MyApp.File"

[HKEY_CLASSES_ROOT\MyApp.File]
@="Documento de Mi Aplicación"

[HKEY_CLASSES_ROOT\MyApp.File\DefaultIcon]
@="C:\\Program Files\\MyApp\\icon.ico"

[HKEY_CLASSES_ROOT\MyApp.File\shell\open\command]
@="\"C:\\Program Files\\MyApp\\app.exe\" \"%1\""

HKEY_CURRENT_USER (HKCU) en Profundidad

Contiene la configuración específica del usuario actual. Algunas subclaves importantes:

Software

HKCU\Software contiene configuraciones de aplicaciones para el usuario actual. Las aplicaciones suelen almacenar su configuración aquí en la estructura Vendedor\Aplicación.

Environment

HKCU\Environment contiene variables de entorno del usuario. Para modificarlas:

reg add "HKCU\Environment" /v TEMP /t REG_EXPAND_SZ /d "%%USERPROFILE%%\AppData\Local\Temp" /f

Console

HKCU\Console contiene configuraciones de la ventana de comandos (colores, tamaño, etc.).

Keyboard Layout

HKCU\Keyboard Layout contiene configuraciones del teclado.

Ejemplo práctico: Deshabilitar el menú contextual en el escritorio

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=dword:00000001

HKEY_LOCAL_MACHINE (HKLM) en Profundidad

Contiene configuraciones que afectan a todos los usuarios del sistema.

Software

HKLM\Software contiene configuraciones de aplicaciones para todos los usuarios.

System

HKLM\System contiene configuraciones críticas del sistema:

CurrentControlSet\Control: Configuraciones del sistema
CurrentControlSet\Services: Configuración de servicios
CurrentControlSet\Hardware Profiles: Perfiles de hardware

Hardware

HKLM\Hardware contiene información sobre el hardware detectado (se regenera en cada arranque).

SECURITY y SAM

Estas claves contienen información sensible de seguridad y cuentas de usuario. Normalmente no son accesibles incluso para administradores.

Ejemplo práctico: Cambiar el tiempo de espera del menú de arranque

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"Timeout"=dword:0000000a

HKEY_USERS (HKU) en Profundidad

Contiene perfiles de todos los usuarios que han iniciado sesión en el sistema. Cada usuario tiene una subclave identificada por su SID.

Estructura típica

.DEFAULT: Perfil usado antes del login
S-1-5-18: Cuenta SYSTEM
S-1-5-19: Servicio LOCAL SERVICE
S-1-5-20: Servicio NETWORK SERVICE
S-1-5-21-...: Usuarios normales

Ejemplo práctico: Configurar pantalla de bienvenida

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Control Panel\Colors]
"Background"="0 0 0"  ; Fondo negro

HKEY_CURRENT_CONFIG (HKCC) en Profundidad

Es un enlace a la configuración de hardware actual en HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current.

Contenido típico

Software: Configuración de software específica del perfil
System: Configuración del sistema específica del perfil

Técnicas Avanzadas de Manipulación del Registro

1. Scripting con archivos .REG

Los archivos .REG permiten automatizar cambios en el registro. Estructura básica:

Windows Registry Editor Version 5.00

[Ruta\Completa\De\La\Clave]
"NombreDelValor"=tipo:datos

2. Monitoreo de cambios en el registro

Puede usar herramientas como Process Monitor de Sysinternals para ver qué cambios hacen las aplicaciones en el registro.

3. Acceso programático al registro

Desde C++ (WinAPI):

#include <windows.h>

HKEY hKey;
LONG lRes = RegOpenKeyEx(HKEY_CURRENT_USER, "Software\\MyApp", 0, KEY_ALL_ACCESS, &hKey);
if (lRes == ERROR_SUCCESS) {
    DWORD dwValue = 1;
    RegSetValueEx(hKey, "SettingName", 0, REG_DWORD, (BYTE*)&dwValue, sizeof(dwValue));
    RegCloseKey(hKey);
}

Desde PowerShell:

# Crear clave
New-Item -Path "HKCU:\Software\MyApp" -Force

# Establecer valor
Set-ItemProperty -Path "HKCU:\Software\MyApp" -Name "SettingName" -Value "SettingValue"

# Leer valor
Get-ItemProperty -Path "HKCU:\Software\MyApp" -Name "SettingName"

Seguridad y Resolución de Problemas

Copias de seguridad del registro

Método 1: Exportar todo el registro desde REGEDIT (Archivo → Exportar)

Método 2: Usar punto de restauración del sistema

Método 3: Copiar manualmente los archivos del registro (NTUSER.DAT, SAM, SECURITY, SOFTWARE, SYSTEM)

Restaurar el registro

Arranque en Modo Seguro
Importe el archivo .REG guardado
O use "Última configuración válida conocida" en el menú de arranque

Problemas comunes y soluciones

Problema	Solución
No se pueden guardar cambios: Permisos	Modificar permisos de la clave
REGEDIT bloqueado por administrador	Usar PowerShell o CMD con derechos de admin
Claves o valores dañados	Restaurar desde copia de seguridad

Manipulación del Registro para Ingeniería Inversa y Cracking

Nota Legal: Esta sección es solo con fines educativos. Modificar software protegido sin autorización es ilegal en muchas jurisdicciones.

Conceptos básicos de protección de software

Las aplicaciones comerciales suelen usar estas técnicas de protección:

Comprobación de licencia en el registro
Periodos de prueba basados en fechas
Activación online
Checksums de archivos

Localizando claves de registro relevantes

Técnicas para encontrar donde una aplicación almacena su configuración:

Usar Process Monitor para ver accesos al registro
Buscar en HKCU\Software y HKLM\Software el nombre de la aplicación
Buscar términos como "license", "serial", "trial"

Modificación de valores del registro

Una vez identificada la clave, se pueden modificar valores como:

Fechas de instalación/prueba
Flags de activación
Números de serie

Inyección de código mediante el registro

Algunas aplicaciones permiten cargar DLLs especificadas en el registro:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\path\\to\\your.dll"

Uso de ensamblador para modificar comportamiento

Para parchear aplicaciones que verifican valores del registro:

Identificar la verificación con un depurador (x64dbg, OllyDbg)
Localizar las llamadas a APIs del registro como RegOpenKeyEx, RegQueryValueEx
Modificar los saltos condicionales (JZ, JNZ) o los valores devueltos

Ejemplo de parche en ensamblador

; Ejemplo de función que verifica una clave del registro
; Original (verificación fallida salta a fin)
CMP EAX, 1
JZ loc_401234

; Parche (siempre pasar verificación)
NOP
NOP

Técnicas anti-cracking y cómo evitarlas

Técnica	Contramedida
Verificación de checksums	Deshabilitar verificaciones o parchear resultados
Detección de depurador	Usar plugins anti-anti-debug
Encriptación de valores	Analizar rutinas de desencriptado

Herramientas Avanzadas

1. RegScanner (NirSoft)

Busca en el registro con expresiones regulares y filtros avanzados.

2. Registry Changes View (NirSoft)

Compara estados del registro antes y después de cambios.

3. Process Monitor (Sysinternals)

Monitoriza en tiempo real accesos al registro, archivos y red.

4. RegFromApp (NirSoft)

Muestra cambios en el registro realizados por una aplicación específica.

5. Offline Registry Editor

Permite editar hives del registro sin cargarlos en el sistema activo.

Conclusión

El registro de Windows es una base de datos poderosa que controla casi todos los aspectos del sistema operativo. Dominar su estructura y manipulación permite un control sin precedentes sobre el comportamiento de Windows y las aplicaciones que ejecuta.

Recuerde: Con gran poder viene gran responsabilidad. Siempre haga copias de seguridad antes de modificar el registro y comprenda completamente los cambios que está realizando.