Download el registro de windows

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
Document related concepts
no text concepts found
Transcript 
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Te recomiendo que uses máquinas virtuales para hacer estas pruebas.
Puedes encontrar más información en google sobre VMware y
VirtualPC. De todos modos si sigues los pasos exactamente no hay
problema si desarrollas lo descrito en tu máquina.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
RENUNCIA: El presente documento ha sido creado a partir de valiosa
información obtenida de diversas fuentes confiables bibliográficas y de
Internet. No se puede decir que está hecha sólo por mí, pues yo no he
creado el Registro de Windows, pero sí, que gran parte de lo
presentado corresponde a mi experiencia a partir de mi investigación
sobre este tema.
Este material está hecho con fines puramente educativos, y el autor no
se responsabiliza por el contenido de la información vertida o por lo
que el lector pueda hacer con ésta, ni por los daños o beneficios sobre
hardware o software que pueda ocasionar la manipulación, ejecución,
o puesta en práctica directa o indirecta de lo aquí descrito, ni por la
influencia que esto pueda tener en la vida del lector y de terceros.
F. R. G. L.
felipegl106@hotmail.com
Tarapoto-Perú
2005
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
El principio de la sabiduría es el
temor de Jehová.
Proverbios de Salomón
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
No basta saber, se debe también
aplicar. No es suficiente querer, se
debe también hacer.
Johann Wolfgang von Goethe
Lo que sabemos es una gota de
agua; lo que ignoramos es el
océano.
Isaac Newton
En primer lugar acabemos con
Sócrates, porque ya estoy harto de
este invento de que no saber nada
es un signo de sabiduría.
Isaac Asimov
La sabiduría es hija de la
experiencia.
Leonardo Da Vinci
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Dedicatoria:
Agradezco en primer lugar a Dios, por la vida y por todas las
bendiciones que me ha dado. Todo lo que somos y lo que sabemos es
por El, porque El lo permite.
Gracias a Jesús por haber venido a este mundo a dar su vida por
nosotros. Preparémonos pues para su Segunda Venida.
Agradezco también a mi madre por su apoyo total, Geni Linares
Bensimón, quien desde que fui pequeño me ha inculcado los principios
y valores de la Palabra de Dios con infinita paciencia, ternura y amor.
A mis hermanos Raquel, Jairo y Omar, por su apoyo incondicional en
todo momento.
Agradezco también a todos mis amigos de la red, que aunque tal vez
nunca los haya conocido a todos y que tal vez nunca los llegue a
conocer en persona, me han ayudado-muchas veces sin saberlocompartiendo su conocimiento conmigo y con los demás.
Dedicado a quienes buscan la Sabiduría por encima del conocimiento.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
EL REGISTRO DE WINDOWS
El S.O. debe tener uno o varios archivos de configuración para adaptarlo a las
particularidades del hardware, del software y del usuario de un equipo. Estos
archivos los lee el S.O. en el arranque del sistema.
Para configurar y personalizar un terminal mediante MSDOS, utilizábamos los
archivos CONFIG.SYS y AUTOEXEC.BAT, las órdenes introducidas en estos dos
archivos se ejecutan al arrancar el sistema operativo permitiendo una
configuración según nuestras preferencias. Podemos configurar el tipo de teclado,
el ratón, el tipo de fecha, el prompt, el gestor de memoria, path, driver, tarjeta de
sonido, etc....
Con Windows 3.1 se utilizaban para configurar nuestro sistema, además de los
archivos anteriores, otros de extensión INI (SYSTEM.INI, WIN.INI, etc...). Incluso
algunos programas cuando se instalaban creaban su propio archivo de
configuración INI.
En Windows 95, Windows 98 y Windows Me la configuración del sistema se
almacena en dos archivos SYSTEM.DAT(contiene toda la selección de hardware
de nuestra PC) y USER.DAT(contiene las configuraciones de los usuarios).
Estos archivos se almacenan como archivos binarios así que no podrás visualizar
su contenido sólo con un editor de texto.
Estos 2 archivos se llaman el Registro de Windows. Cuando instalamos un
programa (de 32 bits) éste suele modificar el Registro. Se puede prescindir del
AUTOEXEC.BAT y CONFIG.SYS, así como de los archivos .INI sin embargo se
mantienen por compatibilidad del sistema, sobre todo para que puedan funcionar
los viejos programas de MSDOS y Windows 3.x
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Con Windows XP el Registro se guarda en varios archivos, concretamente en la
carpeta:
%SYSTEMROOT%\System32\Config
se
encuentran:
DEFAULT, SAM, SECURITY, SOFTWARE Y SYSTEM.
Además
cada
usuario
tendrá
un
archivo
llamado:
%USERPROFILE%\NTUSER.DAT en donde tendrá su configuración.
¿Qué significa %Systemroot% y %Userprofile%?, Pues son variables del
sistema, las puedes ver escribiendo SET en el Intérprete de comandos.
Osea %Systemroot% equivale C:\Windows y %Userprofile% equivale a
C.\Documents and Settings\felipe, pero que valga para todos, pues podríamos
haber instalado Windows en otra partición y tener otro nombre de usuario.
Muchos de los cambios que haces a la configuración de tu Window$, tales como de
repente poner contraseña a tu protector de pantalla, o cambiar el fondo de tu
pantalla, son cambios que modifican los archivos del registro.
Modificar
el contenido de los archivos de registro no solo requiere las
herramientas adecuadas sino también la comprensión del funcionamiento interno
de estos archivos.
¿Cómo podemos modificar el contenido del Registro de Windows? Pues
podemos ir a cada uno de los archivos anteriores con un Editor unicode y
modificarlo, pero esto es complicado. Lo mejor es ir a una herramienta llamada
Editor del Registro: Inicio\Ejecutar\regedit. Veremos todos los archivos anteriores
dispuestos de una manera elegante, en forma de carpetas (NO son carpetas, se
llaman claves) y son fácilmente accesibles. En realidad no se ven cada archivo por
separado sino que el propio Editor del Registro se encarga de presentarlos de esta
particular manera.
OJO: No debes confundir el Registro con el Editor del Registro, como ya lo dije
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
anteriormente, el Registro es en sí un conjunto de archivos del sistema que no se
pueden visualizar con cualquier programa, y el Editor del Registro(regedit.exe) es
un programa especial que Microsoft ha hecho para Windows para poder
manipular el Registro de una manera más fácil. Hay varios Editores del Registro
por allí sueltos, como lo son el de Symantec, y otros más.
TIP: Probablemente el significado de la palabra HKEY derive de Handle to KEY,
que significa manipular llave.
Observamos que hay cinco claves llamadas:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Cada una de las Claves tiene subclaves.
En el Panel derecho observamos los Valores, éstos contienen Datos.
Estos valores pueden ser de los siguientes tipos:
•
Los valores del tipo cadena, contienen por lo general: Nombres de
objetos(tales como ”Papelera de reciclaje”, etc), afirmaciones como “yes” y
“no”, rutas(tal como “C:\windows\system\command.com”)etc.
•
Los valores del tipo binario, contienen datos binarios de archivos, etc.
•
Los
valores
del
tipo
dword,
contienen
datos
hexadecimales
decimales(según se escoja) para variables de configuración.
o
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Veamos rápidamente el menú del Editor de Registro. (Puedes acceder a todos
los elementos del menú mediante el Botón derecho del ratón.)
Archivo\Exportar = Coge una parte del Registro y la guarda en un archivo .reg
Archivo\Importar = Coge un archivo.reg y lo introduce en el Registro.
Ejercicio :
Modificar la Página de Inicio del Internet Explorer al clickear sobre un archivo.
Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
Ahora ve a Archivo\Exportar y guárdalo en Mis documentos con el nombre de
prueba.reg
Ve al Bloc de notas y edita el archivo anterior: prueba.reg
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Cambia "Start Page"="http://www.elmundo.es" , pon la dirección de la página
web que desees.
Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro
y modificará la Página de Inicio del Internet Explorer.
Abre ahora el Internet Explorer y verás la pagina web que escribiste.
Edición\Nuevo para crear una nueva clave o valor. Los valores más usuales son de
tipo DWORD y CADENA(Alfanumérico).
También mediante Edición podemos Eliminar o Cambiar el nombre de una clave.
Edición\Buscar para buscar una clave, valor o dato. (Podemos marcar o
desmarcar las casillas)
F3: Continuar buscando.
Para cambiar el Dato de un Valor, pulsar con el botón derecho del ratón sobre ese
valor y eligiendo la opción Modificar.
Edición\Permisos…. En el caso de Windows XP, El Registro sólo lo pueden
modificar los Administradores del sistema pero no los usuarios "limitados".
Podemos darle permiso a algún otro usuario para que también lo pueda modificar.
Entramos en la opción Permisos Agregar\Avanzadas\Buscar ahora y elegimos al
usuario que podrá modificar todo o algún elemento del Registro.
Los tipos de permisos en opciones avanzadas son los siguentes :
Control total : Permite que posea todos los permisos posibles.
Consultar valor : Permite que tenga permiso de lectura.
Establecer valor : Permite que tenga permiso de escritura.
Crear subclave : Permite que pueda crear subclaves.
Enumerar subclaves : Permite que pueda listar las subclaves de una clave.
Notificar : Notificará cuando la clave sea modificada.
Eliminar : Permite que pueda eliminar claves.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Para Windows 98,Win ME, cualquier usuario que tenga una cuenta puede
modificar el registro, que fea nota, o tal vez? Qué bacán!!
Fundamentalmente el Registro se compone de dos claves:
HKEY_LOCAL_MACHINE y HKEY_USERS, en estas dos claves están todos los
parámetros del registro.
Lo que ocurre es que para mayor comodidad la primera de ellas deriva en otras
dos llamadas: HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT.
Y de la segunda clave deriva HKEY_CURRENT_USER
Veamos algunas subclaves de las claves principales:
HKEY_CLASSES_ROOT (HKCR)
En esta clave se encuentran los archivos registrados, sus extensiones y los
programas asociados. También se encuentran los identificadores de clases que son
números que identifican determinados objetos.
Esta clave es parte de la HKEY_LOCAL_MACHINE concretamente la
HKEY_LOCAL_MACHINE\Software\Classes
Ejemplos de Extensiones de archivos: .txt, .bat, .bmp, .exe, .pif, * significa
todos los archivos.
Tipos de archivos registrados: textfile, batfile, Paint.Picture(archivos de
mapas de bit), exefile, piffile.
Programas asociados: notepad.exe, archivo de procesamiento por lotes(MSDOS), mspaint.exe, programas ejecutables, accesos directos.
CLSID nombre de objetos. Ejemplo, la Papelera es 645FF040-5081-101B-9F0800AA002F954E.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Los programas asociados son los que abrirán los archivos con determinada
extensión, por ejemplo: los archivos .txt, son archivos de texto, y se abren con el
block de notas(notepad.exe); los archivos .doc, son archivos del procesador de
texto de Word, y se abren con winword.exe; los archivos .bmp, son archivos de
mapas de bits, y se abren con el mspaint.exe, etc...
Osea que aquí en el Registro están todas las asociaciones a los programas que usan
determinadas extensiones.
Práctica:
Veamos como se ubican las extensiones de archivos y sus asociaciones con
programas en el registro.
Abrir el Editor de registro: En menú Inicio, Ejecutar, regedit.exe, Enter.
Abrir la clave HKEY_CLASSES ROOT, buscar el la subclave “.txt”, hacer clic y
se muestra lo siguiente:
•
El Valor de Cadena(REG_SZ) Predeterminado es txtfile, que indica que la
asociación es de un txtfile (archivo de texto).
•
El Valor de Cadena(REG_SZ) Content Type es text\plain, que indica que su
contenido es texto plano.
•
El Valor de Cadena(REG_SZ) Perceived Type es text, que indica que indica
que el sistema detecta contenido de tipo texto.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
La subclave PersistHandler contiene el CLaSs IDentifier(CLSID)(Identificador de
Clase) que es un numero por el cual el sistema identifica al objeto que representa
las extensiones txt.
Lo que esta enmarcado en rojo dentro de la elipse es importante pues nos llevará a
la asociación extendida.
Pues vayamos. Volvamos a la clave HKEY_CLASSES_ROOT, y busquemos la
subclave “txtfile”, y nos muestra lo siguiente:
En la subclave DefaultIcon, en el valor de cadena Predeterminado, se encuentra la
dirección del archivo que contiene el icono
que usan los archivos de texto, en
este caso el archivo Shell32.dll. El número al costado indica el número de icono,
puedes probar a modificar ese número para modificar el icono también!.
La Sub clave Shell tiene una subclave(subclave Open) para mostrar el menú que
sale cuando se hace clic al botón derecho del ratón (Menú contextual) sobre un
archivo, en su valor predeterminado se pone el texto que se desea que aparezca en
el menú para abrir la asociación deseada. Otra subclave en la que se determina
que programa abrirá a la extensión dada (la subclave command) .
Sub clave: Shell\Open\command, se usa para determinar el programa que
abrirá a los archivos de este tipo(.txt[archivos de texto]). Ahora si, vayamos a la
subclave HKCR\txtfile\shell\open\command, nos encontraremos con esto:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Vemos que la subclave command, en su valor de cadena predeterminado, contiene
la dirección del programa que abrirá los archivos que detecte o que se hayan
marcado como archivos de tipo texto. El “%1” indica que abrirá el archivo de texto
sobre el cual se ha hecho doble clic o enter.
Ok, ahora veamos que programa tiene asociado la extensión .gif(de las imágenes
animadas). Vamos al Editor del Registro y abre la clave
HKEY_CLASSES_ROOT\, expándela y busca la subclave .gif:
Ahí vemos que la extensión .gif maneja la asociación extendida llamada
“giffile”(archivo gif). Ahora en la misma clave HKEY_CLASSES_ROOT,
Busquemos la subclave “giffile”, expándela y abre las subclaves Shell, Open,
command:
Vemos, que en mi máquina, el programa encargado de visualizar los archivos con
extensiones .gif es el iexplore.exe(el explorador de internet).
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
¡!Tarea!!: Ubicar las extensiónes .doc y .exe y ubicar las asociaciones de los
archivos, y la ruta que lleva a los programas que ejecutan los archivos del tipo .doc
y .exe.
TRUCOS USANDO ASOCIACIONES Y EXTENSIONES :
TRUCO 1. Hacer que TODOS los archivos se puedan visualizar con el
bloc de notas( ¡Muy útil para analizar archivos sospechosos!).
NOTA: Este truco funciona a la perfección en Windows 98, en XP no se nota
mucho, a no ser que el archivo que se desee abrir no tenga una asociación aún
determinada.
1. Ejecutar el regedit
2. Abrir la clave HKEY_CLASSES_ROOT
3. Abrir la subclave * (ya dijimos que * representa TODOS los archivos).
4. Dar clic derecho sobre la subclave * y seleccionar Nuevo, Clave; y escribir
el nombre de “shell”, sin las comillas y presionamos Enter (La Sub clave
Shell se usa para que aparezca el menú que sale cuando se hace clic al
botón derecho del ratón (Menú contextual) sobre un archivo.)
5. Una vez creada esta subclave, damos clic derecho sobre esta misma
subclave y seleccionamos Nuevo, Clave; y escribimos “Open”, y
presionamos Enter.
6. Una vez creada esta subclave vamos al panel derecho y en el valor llamado
Predeterminado damos clic derecho y seleccionamos modificar.
7. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de
Información del Valor: “AvRiR k0n el BloK de NotAZ”, y presionamos
Enter.
8. Ahora hacemos clic derecho nuevamente sobre la subclave Open y
seleccionamos Nuevo, Clave, y escribir “command”.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
9. Una vez creada esta subclave vamos al panel derecho y en el valor llamado
Predeterminado damos clic derecho y seleccionamos modificar.
10. Nos aparece una ventanita de Editar cadena y escribimos en el espacio de
Información del Valor “notepad.exe %1”, y presionamos Enter.
11. Cerrar el Editor de registro.
12. Abrir el explorador de Windows y ubicar una carpeta que tenga archivos
con diferentes extensiones(.txt, .doc, .bat, .xls, .bin, etc) y dar a cualquier
archivo clic derecho con el mouse y se verá que aparece un menú dentro del
cual está el texto “AvRiR k0n el BloK de NotAZ”, al seleccionar eso,
cualquier archivo que escojamos se abrirá con el bloc de notas.
TRUCO 2: Abrir el Intérprete de Comandos desde la carpeta deseada.
1. Abrir el Editor de Registro de windows.
2. Ir al árbol HKEY_CLASSES_ROOT y expandirlo
3. Buscar la subclave Fólder y expandirla.
4. Dar clic derecho en la subclave Shell y seleccionar nueva Clave, y luego
escribir TRUCO, y presionar Enter.
5. Una vez creada la subclave TRUCO, ir al panel derecho y dar clic derecho
en el valor de cadena Predeterminado y seleccionar Modificar y en el
campo Información del Valor, escribir: “Ir al MS-DOS desde aquí”, y dar
clic en Aceptar.
6. Luego dar clic derecho en la subclave TRUCO y seleccionar Nueva Clave, y
luego escribir command, y presionar Enter.
7. Una vez creada la subclave command, ir al panel derecho y dar clic derecho
en el valor de cadena Predeterminado y seleccionar Modificar y en el
campo Información del Valor, escribir: command.com \k cd “%1”, y dar
clic en Aceptar.
8. Cerrar el Editor del registro, Abrir el explorador de windows y dar clic
derecho sobre cualquier carpeta y se verá que aparece la opción: “Ir al MS-
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
DOS desde aquí”, que al seleccionarlo nos llevará al Intérprete de
Comandos con la ruta de la carpeta elegida. Jeje!!
TRUCO 3: Interceptación de Ejecutables
¡!Advertencia!!: Este truco es peligroso, hacerlo con sumo cuidado. Seguir los
pasos exactamente.
Esta aplicación se puede orientar a la creación de virus, pues usando asociaciones
de archivos podemos usar esta técnica llamada Interceptación de Ejecutables para
hacer que nuestros programas se ejecuten ANTES que los programas elegidos, esta
técnica es usada por el virus Bardiel, programado por el programador de virus
peruano MachineDramon.
Básicamente lo que se hace es cambiar la ruta de la extensión del archivo y su
programa asociado, asociándolo con otro, en este caso cualquier programa
ejecutable que hayamos seleccionado.
De paso veremos como restaurar el sistema, ya que este virus después que se lo
elimina deja el sistema casi “inutilizable” por no permitir la ejecución de archivos
.exe, .com, .bat, .scr, .cmd, .pif . Buaaaaaajajajajajajaja!!!
1. Abrir el Editor de Registro.
2. Ir a la clave HKEY_CLASSES_ROOT y expandirla.
3. Buscar la subclave exefile y expandirla.
4. Buscar la subclave shell y expandirla.
5. Buscar la subclave open y expandirla.
6. Buscar la subclave command y expandirla.
7. Ir al panel derecho y hacer clic derecho en el valor de cadena
Predeterminado y seleccionar modificar y allí escribir la ruta del programa
que queramos ejecutar, por ejemplo: c:\windows\command.com y dar clic
en Aceptar.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora probemos. Busquemos cualquier archivo .exe y ejecutémoslo, veremos que
se ejecuta el command.com. Ahora supongamos que alguien no tan bueno que
digamos en vez del command.com, nos haría ejecutar programas maliciosos tales
como virus, troyanos, keyloggers, bombas lógicas, etc.
Para conseguir ejecutar el programa después de ejecutar el nuestro, se necesita
programar alguna función que reciba como parámetro la llamada al proceso
anterior a la ejecución última. Se puede hacer eso usando el Visual Basic.
Ahora, tenemos que volver la asociación de los programas .exe a su estado original,
para eso, en el valor en vez de c:\windows\command.com que escribimos, escribir:
“%1” %* (cuidado con los espacios!!, tiene que haber un espacio).
Te habrás fijado y preguntado qué demonios tienen que ver estos archivos, con el
registro, pues prueba a hacerles doble clic y verás que son importados
directamente al registro.
OJO: No se debe importar al registro de windows cualquier archivo, con
cualquier texto, tiene que ser texto similar a la estructura en común que
encuentras en ellos, como REGEDIT4, [HKEY_.....]. Tampoco cualquier nombre
de claves o valores, por ejemplo, hay quienes quieren agregar en el registro
pensando que podrán ocultar su unidad C de los usuarios y crean una clave asi:
HKEY_CURRENT_USER\ProgramasdeFelipe\Microsoft\OcultarUnidadC,
NOOOOOOOOOOO!!!!!!!!!!!, los valores y nombres que nosotros creamos y
modificamos en el registro de Window$, son variables ya establecidas que nosotros
solo activamos o desactivamos.
Ya veremos más adelante métodos diversos para poder acceder al registro de
windows y modificarlo!!!. Muchas son de poder.!! Para defenderte del enemigo
tienes que pensar como el enemigo, no lo olvides nunca.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
HKEY_CURRENT_USER (HKCU)
En esta clave se encuentra la configuración del usuario y de los programas que está
actualmente usando en el ordenador.
AppEvents Contiene los las etiquetas o sonidos de los eventos que suceden con
determinados programas, tales como el sonido que se debe escuchar cuando
recibes un correo nuevo en el Messenger, o el sonido que debe escucharse cuando
se vacía la Papelera de reciclaje
Console Configuración de la consola del Intérprete de comandos.
Control Panel Configuración del Panel de control. Accessibility( 1,0), Appearance,
Colors, Desktop, WindowsMetrics, Keyboard, PowerCfg, Mouse, Desktop.
Enviroment Algunas variables de entorno.
Los cambios que hagamos en esta clave afectará solo al usuario actual.
Aquí están los sonidos asociados, escritorio, papel tapiz, teclado, las aplicaciones
que se pueden usar, la red, etc.
Se almacena la configuración del usuario que actualmente está usando el
ordenador. La información aquí contenida es copiada de la clave HKEY_USERS,
una clave del tipo:
S-1-5-21-76556 ……
OJO: Muchos programas al instalarse, ponen su clave en
HKEY_CURRENT_USER\Software\, para poner dentro parámetros de
configuración propios, por ejemplo, puede que hayas instalado el winzip y la clave
es: HKEY_CURRENT_USER\Software\Winzip.
También una clave importante en HKEY_CURRENT_USER es:
HKCU\Software\Microsoft\Windows\CurrentVersion en donde se puede controlar
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
distintos aspectos del sistema. Aspectos varios como restringir acceso a las
unidades de Discos y ocultar drives, de repente no quieres que algunos vean tus
unidades especiales, o que utilicen tu disquetera o lectora, también puedes evitar
que otros modifiquen tu fondo de pantalla y tu configuración personalizada, evitar
que instalen \ desinstalen programas, evitar que ingresen al panel de control, etc,
etc, etc.
Muchos de los cambios hechos, necesitan que se reinicie el equipo.
TRUCO, para reiniciar el registro sin reiniciar la máquina: Al momento de
aparecer el cuadro de apagar equipo, antes de dar clic en Aceptar para Apagar el
equipo, presionar la tecla Shift y sin soltar dar clic en Aceptar para apagar el
equipo.
Ejemplos:
1.- Para que en Inicio no salga "Cerrar sesión"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies \ Explorer Crear en el panel derecho un valor DWORD llamado
StartMenuLogOff y ponerlo en value 1
2.- Podemos evitar que se utilice el Intérprete de comandos (XP):
HKCU\Software\Policies\Microsoft\Windows\System. Panel derecho crear un
DWORD llamado DisableCMD y ponerlo en 1 (No permitir), 2 o 0 (Sí permitir).
[Debes crear las claves Windows y System]
3.- Podemos evitar que se utilice el Intérprete de comandos (Win9x-WinME):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\WinOldApp]. Panel derecho crear un DWORD llamado Disabled y ponerlo en 1
(No permitir), 0 (Sí permitir).
[Debes crear la clave WinOldApp]
4. Evitar Reiniciar en modo MS-DOS (Win 9x)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\WinOldApp]. Panel derecho crear un DWORD llamado NoRealMode y ponerlo
en 1 (No permitir), 0 (Sí permitir).
[Debes crear la clave WinOldApp]
5.- Evitar que otros modifiquen tu configuración de las Propiedades de pantalla
Sale mediante: Botón derecho sobre el escritorio\Propiedades. Para deshabilitar
las fichas de Propiedades de pantalla :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ir a Panel
derecho y crear o cambiar los valores DWORD de :
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoDispBackgroundPage poner a 1 para que no salga "Escritorio"
NoDispAppearancePage """"""""""""""""""""" "Apariencia"
NoDispSettingsPage """"""""""""""""""""""" "Configuración"
NoDispScrSavPage """""""""""""""""""""""" "Protector de pantalla"
Verás que en muchos casos solo se modifican los valores “’0” para deshabilitar y
“1” para habilitar.
5.- Ocultar el reloj.
HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el
Panel derecho crear el valor DWORD llamado HideClock y ponerle valor 1
O bien: Panel de control\Apariencia y temas\Barra de tareas y menú de inicio.
6.- Mediante Herramientas\Opciones de carpeta podemos configurar diversos
aspectos de las carpetas y de los archivos. Para que no aparezca la opción
"Opciones de carpeta..." en Herramientas de la barra de menús (arriba) :
HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer en el
Panel derecho crear el valor DWORD llamado NoFolderOptions y ponerle valor 1
7.- Ocultar Apagar equipo :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Crear o
modificar un DWORD llamado NoClose y poner el Value en 1. (Reiniciar) Para
volver a poner el Botón de apagado poner un Value 0
8.- Para que un programa se ejecute en el inicio. Ir a
HKCU\Software\Microsoft\Windows\CurrentVersion\Run en el Panel derecho
crea un nuevo valor Alfanumérico llamado Calculadora y ponle de valor calc.exe.
Al momento de reiniciar el equipo, verás que se ejecuta la calculadora.
Alucina que acá puedes poner tus troyanos y tus keyloggers, solamente échale
imaginación!
9.- Para que no se pueda inhabilitar Agregar o quitar programas, vamos a
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall y en el
Panel derecho crear un valor DWORD llamado NoAddRemovePrograms, poner
su valor a 1
10. Borrar el registro de los programas que has ejecutado desde el Inicio\Ejecutar.
Jejeje
Antes de hacer esto, ve al menu Inicio, Ejecutar, y escribe:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
rundll32 desk.cpl,InstallScreenSaver %1
Luego de dar en Aceptar, abre el regedit.exe y busca esta subclave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU, al
costado derechos se encuentra algo así:
Lo que está enmarcado, son los programas que he ejecutado yendo al menú Inicio/
Ejecutar.
¿Quieres borrar rastros de que has ingresado al registro a curiosear? Pues borra
los valores a, b, c, d, ..., etc, los que no desees que se muestren más.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Debes reiniciar el equipo.
11. Borrar el registro de los archivos que has buscado con la opción Buscar
archivos. Jejeje
Digamos que vas a la casa de tu amiga y en su máquina sospechas que tiene algún
archivo, programa, foto, video, etc, que te puede interesar y haces una búsqueda
con el buscador de windows, algo así como esto:
Cuando tu cierres esta ventanita e incluso cuando reinicies, si abres el buscador de
windows, con solo presionar la tecla de dirección hacia abajo, verás que aparece la
búsqueda que habías hecho, OOOPPPPPSSS!!!. Mi amiga se molestaría si supiera
que he estado urgando en sus archivos, y quién sabe tal vez he encontrado cosas
que ella no quisiera que yo vea o sepa, pues como ya se dio cuenta, adiós confianza,
o el peor de los casos, amistad bye bye. JAJAJAJA.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Pero, espera, nuestro caso no será ése. Cierra todas la ventanitas de búsqueda
primero. Ahora vamos a borrar nuestras pistas. Abre el registro de Windows y ve
a la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec
MRU:
en el panel derecho, está el registro de tus búsquedas, borra las que consideres
convenientes y listo.
En este caso, no hay necesidad de reiniciar.
Haz la prueba, y abre nuevamente una ventana de búsqueda y presiona la tecla de
dirección hacia abajo, ya no aparecerán las búsquedas que borraste.
12. Mostrar la extensión completa de los archivos(Muy útil para evitar ejecutar
virus)
Cuántas veces no ha sucedido que muchas veces hemos encontrado archivos tales
como “pamela.jpg”, “diapositiva.pps” en nuestros diskettes o en nuestros correos,
sin saber quién nos ha pasado esos archivos, y bueno creyendo que eran archivo de
imagen(la extensión “jpeg” es para archivos de imágenes) o alguna diapositiva le
hemos dado doble clic, bueno después vinieron los estragos pues en realidad eran
virus. Bueno, te preguntarás entonces ¿cómo nos podemos dar cuenta si un archivo
jpeg, doc, jpg, etc es realmente un archivo del tipo que dicen ser, y no un virus?.
Pues, la respuesta es: La gran mayoria de virus, tienen extensiones .exe, .com, .vbs,
.bat, etc, pero cuando te lo envían o se copian(de una máquina infectada a un
disquete tuyo) no aparecen con las extensiones completas, sino que se ponen
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
nombres como: “pamela.jpeg.exe”, “diapositiva.pps.vbs”. Entonces el problema
está en que Windows generalmente siempre oculta la primera extensión para los
archivos, haciendo pues que: “pamela.jpeg.exe” se muestre como “pamela.jpeg”, y
que “diapositiva.pps.vbs” se muestre como “diapositiva.pps”, e incluso que
“documento.exe” se muestre como “documento”. Ya te habrás cuenta del terrible
daño que esto puede ocasionar, especialmente sino tenemos ni idea de todo esto.
Entonces, pues he ahí la razón por las cuales muchas veces hemos ejecutado virus
creyendo que eran documentos, imágenes, etc.
Bueno, la propiedad de Windows para hacer que se muestren las extensión de los
archivos está en el registro, más específicamente en la clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explore
r\Advanced, en el valor de tipo cadena llamado “HideFileExt”.
Generalmente este valor “HideFileExt”(que viene del inglés Hide=Ocultar,
File=Archivo, Ext=Extensión[Ocultar extensión de archivos]), tiene el valor de
“1”(Activado), que indica que las extensiones de los archivos están ocultas;
entonces para mostrar la extensión completa de los archivos, sólo debemos
cambiar este valor a “0”(Desactivado). Haz la prueba de cambiar este valor y
revisa al mismo tiempo los nombres de tus archivos te darás con gratas sorpresas.
Mira esto, y fíjate bien, cuando el valor de “HideFileExt” tiene el valor de “1”, los
archivos se muestran así(sin las extensiones completas):
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora cuando cambiamos el valor de “HideFileExt” a “0”, y para actualizar
presiona varias veces F5, luego lo anterior se muestra así:
¡!!TE DAS CUENTA QUE HAY UN VIRUS QUE PARECIA UNA CARPETA!!!.
Bueno, pues lo único que nos queda es tener siempre el valor de “HideFileExt” con
el valor de “0”, para conocer la verdadera extensión de los archivos y evitar
ejecutar virus . O bueno pon ese valor a “1” si es que eres tú el que quiere ocultar
tus verdaderos virus, troyanos, keyloggers, etc. Jeje
13. Hacer que un programa se ejecute al Inicio de Windows
Cuando queremos que un programa se inicie al inicio de Windows(jeje, muchos
programas maliciosos[virus, troyanos, keyloggers, bombas lógicas, etc] usan esto)
debemos crear valores de tipo cadena en cualquiera de las siguientes claves del
Registro:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
O
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
O
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e
O
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO
nce
Y poner valores con nombres que desees y que indiquen la ubicación del programa
que se ejecutará, por ejemplo:
En este caso, al reiniciar Windows verás que se ejecuta tu Keylogger y el MS-DOS
automáticamente. Uff, qué buena!!
Así que si quieres ver que programas se inician con Windows, ve a esas claves del
registro y borra las que te no te gusten o las que te parecen sospechosas y listo.
Más rápido no puede ser.
Otra forma de ver los programas que se inician con windows es con el
msconfig.exe(programa que lee archivos de configuración[config.sys, autoexec.bat,
system.ini, win.ini, y también lee las claves de registro(las pone en la ficha Inicio
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
para ser más específico) mencionadas recién] y los muestra de una manera
“agradable”). Si modificas algo con el msconfig.exe, esa modificación afectará
directamente a los archivos mencionados y las claves de registro.
HKEY_LOCAL_MACHINE (HKLM)
Esta clave contiene la configuración general del ordenador. De ésta proceden la
HKEY_CURRENT_CONFIG y la HKEY_CLASSES_ROOT.
!!Los cambios que hagamos en esta clave, afectarán a todos los usuarios!!
Hardware = ACPI gestión avanzada de energía,
Description = información del microprocesador,
DeviceMap = información del .. ratón, teclado, puertos,
SAM Configuración de seguridad, está protegida.
Security Configuración de seguridad, está protegida. Se utiliza cuando estamos en
un dominio.
Software Información (a veces codificada) de programas instalados, fecha, versión,
licencia, colores
Classes es HKCR
System Información sobre perfiles de Hardware, controladores, unidades de disco.
Notas :
Los archivos moricons.dll, pifmgr.dll, shell32.dll contienen colecciones de iconos.
Los archivos .cpl son utilidades del Panel de control. (Busca los archivos *.cpl)
Rundll32 es un programa que ejecuta algunos archivos .dll y .cpl
Ejemplos:
1.- Para que los usuarios tengan que pulsar Ctrl+Alt+Supr para entrar en el
Sistema (Win 2000-XP)
(Se utiliza cuando hay varios usuarios configurados)
HKLM\Software\Microsoft\Windows NT\Current Version\Winnlogon En el Panel
derecho crear una nueva DWORD llamada DisableCAD con valor 0
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
HKEY_CURRENT_CONFIG
En esta clave está la configuración actual del sistema.
HKEY_USERS
Esta clave contiene la configuración de todos los usuarios del ordenador. Según
van conectándose usuarios al ordenador, aparecen claves del tipo S-1-5-21-76556
…….. aquí están las claves de los usuarios conectados, de todos ellos la clave del
usuario actual se repite en HKEY_CURRENT_USER.
FORMAS DE MODIFICAR EL REGISTRO
1.- Exportando una clave. Modificándola con el Bloc de notas. Clic
sobre el archivo .reg.
Modificar la Página de Inicio del Internet Explorer al clicquear sobre un archivo.
Marca la clave : HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
Ahora ve a Archivo\Exportar y guárdalo en Mis documentos con el nombre de
prueba.reg
Ve al Bloc de notas y edita el archivo anterior: prueba.reg
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Cambia "Start Page"="http://www.gedzac.tk"
Guarda el archivo y ahora doble clic sobre él. El archivo se grabará en el Registro
y modificará la Página de Inicio del Internet Explorer.
Aplicación Malévola: Recuerdo que, hace unos 4 años, cuando aún estaba
iniciándome en este fascinante mundo, fui a una cabina de internet --que está en el
Puerto(Ñaña-Lima-Perú-América-Planeta Tierra-Sistema Solar-Vía Láctea), no
diré el nombre de la cabina para proteger al inocente-- y me di con una “terrible”
sorpresa, el “administrador ” de esas cabinas había puesto varias restricciones a
los equipos, por nombrar a unas pocas, no podía ver la unidad a, no se podía
ejecutar el regedit.exe, no se podía usar el MS-DOS. Como es de suponer, a muy
pocos les gusta vivir bajo las reglas y/o condiciones de otros.
Restricción 1: Cuando iba a menu Inicio/Ejecutar y escribía regedit, me aparecía:
Dije:!!!Cielos!!!, ¡!qué interesante!!,
Te encontrarás en más de una ocasión con esta situación, entonces, lo que debes
hacer para poder volver a poder acceder a tu registro es lo siguiente:
1. Escribe lo siguiente en un bloc de notas:
Para win 98
Para Win XP
REGEDIT4
Windows Registry Editor Version 5.00
Lo siguiente es igual para windows 98 o windows xp
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
2. Grábalo con el nombre de activaregistro.reg
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
3. Da doble clic sobre el archivo que acabas de crear y verás que nuevamente
tienes acceso al registro.
Bueno, no fue tarea difícil, ya que con el acceso al registro, el 90% del trabajo ya
estaba hecho, pues ya podría retirar las restricciones que ese admin había puesto a
sus equipos.
Si quieres volver a restringir el acceso al registro sólo cambia el valor dword de 0 a
1.
Debes tener en cuenta que aprenderte de memoria las llaves principales del
registro te sacarán de muchos apuros.
¿Te das cuenta de que con solo un archivo . reg podemos modificar el registro a
nuestro antojo, sin necesidad del regedit.exe?
Restricción 2: El admin. había ocultado algunas unidades, como la disquetera, así
que no “podía usar la disquetera”.
Bueno, ahora que tenía acceso al registro, ya no había problema, sólo queda ir a la
ubicación del valor que pone esta restricción y borrarlo, en este caso ir a la
siguiente clave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Al costado derecho debe haber un valor del tipo dword llamada NoDrives, cuyo
valor será unidad A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512,
K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S:
262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216,
Z: 33554432, ALL: 67108863.
Por ejemplo para esconder la unidad A y la unidad D, se deberá sumar 1(A) +
8(D), y poner el valor a “9”.
Para ocultar todas las unidades poner el valor a "67108863" (03ffffff hex)..
Si no quieres que haya ninguna unidad oculta borrar el valor NoDrives.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
2.- Mediante un archivo INF.
Éstos archivos se ejecutan pulsando sobre ellos con el botón derecho y luego
Instalar.
Con el Bloc de notas creamos éste archivo: quitareje.inf
[Version]
Signature
= "$CHICAGO$"
[DefaultInstall]
AddReg=Añadir.al.Registro
DelReg=Borrar.del.Registro
[Añadir.al.Registro]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",
NoRun,0x00010001,"0"
; [Borrar.del.Registro]
;
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer",NoRun
; ATENCIÓN: Todo en la misma línea:
; HKCU,"Software\Microsoft\.........\Explorer",NoRun,0x00010001,"0"
Éste archivo pone o quita la opción Ejecutar en el menú de inicio. (Cerrar y Abrir
sesión para ver cambios)
CLAVE PRINCIPAL, "Subclave\Subclave,\Subclave", Valor, TipodeValor, Dato
El Tipo de valor (Flag) lo podemos obtener de:
http:\\msdn.microsoft.com\library\default.asp?url=\library\enus\install\hh\install\inf-format_2v02.asp
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Si es W98, podemos poner como TipodeValor:
0 Para valores de cadena.
1 Para valores binarios
Ir el Editor de Registro y pulsar F5 para ver los cambios efectuados.
Para instalar directamente los archivos .inf desde un archivo por lotes.bat,
podemos poner dentro del lotes.bat:
en XP
C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132
C:\archivo.inf
en W98?
Run("C:\WINDOWS\rundll.exe", "setupx.dll,InstallHinfSection DefaultInstall 132
C:\archivo.inf")
--------------[Probar también:]
ShellExecute("c:\archivo.inf","","",@normal,"Install")
Y
C:\> rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 C:\archivo.inf
Personalmemte, no uso mucho archivos inf para agregar o borrar datos en el
registro, pero bueno, es cuestión de gustos.
3.- Mediante vbs
Esto es lo máximo, pues con esto ya se puede decir que casi tienes todo el dominio
del registro de windows desde casi todos los ángulos. La combinación de estas
técnicas son el poder absoluto, y solamente tu imaginación pondrá los límites.
Crear un archivo llamado comname.vbs con éste contenido:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Option Explicit
Set ws = WScript.CreateObject("WScript.Shell")
Dim ws, t, p1, n, cn, vbdefaultbutton
Dim itemtype
p1
="HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\"
n = ws.RegRead(p1 & "ComputerName")
t = "Cambiar el Nombre del Equipo"
cn = InputBox("Nuevo Nombre", t, n)
If cn <> "" Then
ws.RegWrite p1 & "ComputerName", cn
End If
Lo bueno de manipular el Registro de Windows con los programas VBScript, es
que éstos,
4.- Directamente mediante el Editor del Registro de Windows:
Inicio\Ejecutar\regedit
Deshabilitar - Habilitar el Editor del Registro (regedit.exe)
Para Deshabilitar regedit.exe
Crea un archivo llamado: NOregedit.vbs (Copiar-Pegar)
On Error Resume Next
Dim klez
Set klez = CreateObject("WScript.Shell")
klez.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
1, "REG_DWORD"
klez.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
1, "REG_DWORD"
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Para Habilitar regedit.exe
Crea un archivo llamado SIregedit.vbs (Copiar-Pegar)
On Error Resume Next
Dim klez
Set klez = CreateObject("WScript.Shell")
klez.RegDelete
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
klez.RegDelete
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
Los elementos del Registro de Windows se pueden modificar mediante las ventanas
de configuración de Windows tales como por ejemplo, el tiempo en que aparecerá
el protector de pantalla:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Se encuentra en la siguiente clave del registro, con el tiempo contado en segundos:
Modifica ese valor en el en la ventana y mira como cambia automáticamente en el
registro. También puedes modificar ese valor en el registro y ya no tendrás que
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
hacerlo por medio de esa ventana aburrida, en todo caso, como ya lo dije, el
registro es la base datos de windows y de sus configuraciones, por eso digo que
muchas de las opciones de las ventanas de configuración de diversos aspectos del
sistema, se encuentran en claves o valores en el registro.
Un poco más arriba de ScreenSaveTimeOut, está el valor de ScreenSaveActive, ese
valor es “1” cuando tienes el protector pantalla activado. Cuando tienes el
protector de pantalla puesto a Ninguno, ese valor en el registro es “0”.
Debajo de ScreenSaveTimeOut, está el valor de SCRNSAVE.EXE, dentro de este
valor se pone la ubicación del archivo de protector de pantalla(.scr) que queremos.
Más abajo, casi al final de la imagen de arriba, se ve el Valor del tipo cadena
llamado Wallpaper, que contiene la ruta hacia el archivo de imagen de fondo de
pantalla.
También se puede modificar el registro mediante programas como el TWEAKUI
Manager de Moco$oft. Sin embargo vamos a modificarlo directamente desde el
Editor de Registro pues pues no siempre tendremos ese programa a la mano,
además el propósito de este tutorial es que entendamos como trabaja el registro y
que aprendamos a modificarlo nosotros mismos.
Veamos distintas claves del Registro:
Muchos "trucos" del Registro de Windows se pueden realizar mediante la
"Directiva de grupo" (gpedit.msc), mediante programas como el TweakManager
o simplemente mediante las ventanas de Windows. Sin embargo vamos a ver qué
claves y valores cambian cuando efectuamos algunos cambios de configuración.
Si tienes Windows XP Professional, puedes ir a la
Directiva de grupo, Inicio\Ejecutar\gpedit.msc
Luego ves a:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Configuración de usuarios\Plantillas administrativas
desde aquí podrás perfilar la configuración de tu ordenador.
Ve a la clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
Mira si contiene éstas subclaves: Explorer, Network, ActiveDesktop, System, y
WinOldApp.
En caso que no la tengan, créalas: Marca Policies\botón derecho\Nuevo\Clave\ nombre
de la clave
Para crear un valor te sitúas en su correspondiente clave, te vas al Panel derecho\botón
derecho\Nuevo\Valor DWORD y escribe su nombre, luego le pondrás como Dato 0 o 1.
Una vez creadas las subclaves anteriores vamos a crear los siguientes Valores en ellas:
• Subclave Explorer:
•
ClearRecentDocsOnExit = Borra Documentos recientes cuando sales.
•
DisableRegistryTools = Anula el Editor del Registro (regedit)
Atención: Si Anulas el Editor del Registro, luego no podrás modificar el
Registro. Lo tendrás que hacer con un archivo VBScript o un .REG.
•
NoActiveDesktop = Deshabilitar Active Desktop
•
NoAddPrinter = No añadir nuevas impresoras.
•
NoClose = Desactivar el elemento "Apagar el sistema"
•
NoChangeStarMenu = Evitar cambios en el menú de Inicio
•
NoDeletePrinter = No quitar la impresora actual
•
NoDesktop = Deshabilitar todos los elementos del Escritorio y anular botón
derecho en el Escritorio
•
NoDevMgrUpdate = No permitir\Permitir el gestor de actualización
•
NoDrives [hex] = Ocultar\Poner discos en Mi PC y Explorador de Windows.
Ejemplos:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Valor de Unidad A=1
Valor de Unidad B=2, C=4, D=8, etc
Valor de Unidad A+C=1+4=5, C+D=4+8=12(C en hex).
•
NoFavoritesMenu = Quitar\Poner Favoritos del menú de Inicio
•
NoFolderOptions = Quitar la ficha "Opciones de carpeta" del menú
configuración
•
NoFind = Quitar\Poner "Buscar" del menú de Inicio.
•
NoFileMenu = Quitar "Archivos" del intérprete de comandos (command)
•
NoInternetIcon = Ocultar\Poner el icono Internet Explorer del Escritorio
•
NoLoggOff = Deshabilitar cierre de sesión el el menú de Inicio
•
NoNetHood = Ocultar el icono Entorno de Red (en Windows 98)
•
NoRecentDocsHistory = No mantener el historial de los documentos abiertos
recientemente.
•
NoRun = Quitar\Poner "Ejecutar" del menú de Inicio.
•
NoSaveSettings = No guardar configuración al salir del sistema
•
NoSetFolders = Deshabilitar los cambios en la configuración del Panel de
control e Impresoras
•
NoSetTaskbar = Deshabilitar los cambios en la configuración del menú Inicio y
barra tareas
•
NoSMMyDocs = Quitar Mis Documentos de menú de Inicio (Win98\ME)
•
NoSMMyPictures = Quitar Mis imagenes del menú de Inicio (Win98\ME)
•
NoTrayContextMenu = Deshabilitar el menú contextual en la barra de tareas
(Bandeja-reloj)
•
NoWindowsUpdate = No permitir actualización de Windows 98 y ME
• Subclave System:
•
NoAdminPage = Ocultar "Administración remota"
•
NoConfigPage = Ocultar "Perfiles de hardware"
•
NoControlPanel [hex] = Quitar Panel de control
•
NoDevMgrPage = Quitar "Administrador de dispositivos "
•
NoDispAppearancePage = Ocultar "Página de aspecto"
•
NoDispBackgroundPage = Ocultar "Fondo"
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoDispCPL = Desactivar Panel de control de monitor
•
NoDispScrSavPage = Ocultar ficha de "Protector de pantalla" en ventana de
Propiedades de Pantalla.
•
NoDispSettingsPage = Ocultar ficha de "Configuración" " en ventana de
Propiedades de Pantalla.
•
NoFileSysPage = Ocultar "Sistema de archivos" de Rendimiento\Propiedades
del Sistema
•
NoPwdPage = Ocultar "Cambiar la contraseña"
•
NoProfilePage = Ocultar "Perfiles de usuarios"
•
NoSecCPL = Desactivar el programa Contraseñas del Panel de control
•
NoVirtMemPage = Permitir o no botón de "Memoria virtual "
•
DisableRegistryTools = Desactivar herramientas de edición del Registro
• Subclave Network:
•
DisablePwdCaching = Evitar cache de claves
•
HideSharePwds [hex] = Evitar claves ocultas
•
NoEntireNetwork = Evitar Ver toda la red
•
NoNetSetup = Deshabilitar el icono Red en el Panel de control
•
NoNetSetupIDPage = Ocultar la ficha "Identificación"
•
NoNetSetupSecurityPage = Ocultar la pestaña"Control de acceso"
•
NoFileSharing = Quitar la opción "Compartir..." archivos
•
MinPwdLen = Colocar la mínima cantidad de caracteres para la Clave (0 - 99)
•
NoPrintSharing = Quitar la opción "Compartir Impresora"
•
NoWorkgroupContents = Sin contenidos de grupo de trabajo en Entorno de red
• Subclave ActiveDesktop (Win98\ME + IE4\IE5\IE6):
•
NoAddingComponents = Permitir o no Active Desktop
•
NoChangingWallpaper = Permitir o no cambiar fondo de pantalla.
•
NoCloseDragDropBands = Permitir o no cerrar la Barra de herramientas
•
NoClosingComponents = Permitir o no cerrar los componentes de Active
Desktop
•
NoComponents = Permitir o no todos los elementos del Escritorio
•
NoDeletingComponents = Permitir o no borrar componentes de Active Desktop
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoEditingComponents = Permitir o no editar componentes de Active Desktop
•
NoHTMLWallPaper = Permitir o no presentar fondo en HTML de Desktop
HTML
•
NoMovingBands = Permitir o no mover barra de herramientas
• Subclave WinOldApp:
•
Disabled = Desactivar el símbolo MSDOS
•
NoRealMode = No permitir reiniciar el equipo en MSDOS (Win95\98)
También podemos encontrar las subclaves: Explorer, Network, System y
ActiveDesktop en:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies
y:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Lo que esté en ".Default" se le aplican a todos los usuarios.
Si hay más de un usuario, aquí aparecerá una clave por cada uno de ellos.
Explorer
•
CDRAutoRun [hex] = Permite o no Autoarranque de CD-R(W)\DVD-R(W)
•
ChannelNotify = Permitir o no notificación de cambio de disco (Win98\ME +
IE4\IE5\IE6)
•
ClassicShell [hex] = Habilita el intérprete de comandos clásico(Win98\ME +
IE4\IE5\IE6)
•
ClearRecentDocsOnExit = Borrar "Documentos recientes" al salir.
•
EditLevel = Poner nivle de seguridad 0, 1, 2, 3 o 4
Atención: Puedes bloquear el ordenador si pones nivel 4
•
EnforceShellExtensionSecurity = Seguridad en las claves shellextension
•
ForceCopyACLWithFile = Permitir o no copiar archivo en NTFS
(WinNT4\2000\XP + IE4\IE5\IE6 )
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
IgnoreLinkInfo = Permitir o no presentar los enlaces.
•
LinkResolve = Permitir o no presentar los enlacese
•
MyDocsOnNet = Permitir o no Mis Documentos en Internet
•
NoActiveDesktop = Permitir o no Active Desktop
•
NoActiveDesktopChanges = Elimina la ficha Web del cuadro de diálogos
Propiedades de Pantalla
•
NoAddPrinter = Permitir o no añadir nuevas impresoras.
•
NoChangeStartMenu = Permitir o no hacer cambios en el Menu de inicio
•
NoCommonGroups = Permitir o no Agrupar programas en el Menú de inicio.
(WinNT4\2000\XP)
•
NoClose = Permitir o no cerrar el IE
•
NoCustomizeWebView = Permitir o no personalizar Vista Web
•
NoDeletePrinter = Permitir o no quitar la impresora.
•
NoDeskTop = Permitir o no objetos en el Escritorio y botón derecho sobre el
Escritorio
•
NoDevMgrUpdate = Permitir o no gestor de actualización de Windows
(Win98\ME\2000\XP)
•
NoDrives [hex] = Poner o quitar disco en Mi PC\Explorer\IE
Atención: Realizarlo mejor con el TweakUI (My Computer)
•
NoDriveTypeAutoRun [hex] = Permitir o no Autoarranque de CD\DVD
•
NoEditMenu = Permitir o no Editar el Menú de inicio
•
NoFavoritesMenu = Quitar o no "Favoritos" de Menú de inicio
•
NoFileMenu = Permitir o no "Archivos" en Explorador de Windows y IE
•
NoFileUrl = Permitir o no acceder a archivos locales mediante URL
•
NoFind = Quitar o Poner "Buscar" en el Menú de inicio
•
NoFolderOptions = Mostrar o no "Opciones de carpeta"
•
NoForgetSoftwareUpdate = Permitir o no "Actualizar Programas de Windows"
(Win98\ME\2000\XP)
•
NoHelp = Mostrar o no "Ayuda" en el Menú de inicios
•
NoInternetIcon = Mostrar o no el icono Internet en el Escritorio
•
NoLogOff = Mostrar o no "Cerrar sesión" en el Menú de inicio.
•
NoMSAppLogo = Mostrar o no el logo de Microsofts (Win98\ME\2000\XP)
•
NoNetConnectDisconnect = Permitir o no Desconectar de rede
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoNetHood = Ver o no Entorno de Red
•
NoRecentDocsHistory = Permitir o no añadir nuevos documentos a
"Documentos" de Incio(Win98\ME)
•
NoRecentDocsMenu = Mostar o no Documentos recientes en la configuración
del Menú de inicio
•
NoResolveSearch = Quitar o no "Buscar" en Internet (Win98\ME +
IE4\IE5\IE6)
•
NoResolveTrack = enable\disable Internet Address Tracking (Win98\ME +
IE4\IE5\IE6)
•
NoRun = Quitar o no "Ejecutar" del menú de inicio
•
NoSaveSettings [hex] = No salvar los cambios de configuración al salir
•
NoSetActiveDesktop = Elimina "Active Directory" del submenú Configuración
del Menú Inicio.
•
NoSetFolders = Permitir o no configurar Carpetas
•
NoSetTaskbar = Permitir o no configurar la barra de tareas
•
NoSettingsWizards = Permitir o no el Asistente de configuración(Win98\ME +
IE4\IE5\IE6)
•
NoStartBanner [hex] = Permitir o no el Logo del IE
•
NoStartMenuSubFolders = Mostrar o no subcarpetas en el Menú de inicio
•
NoTrayContextMenu = Mostrar o no Menú contextual en la Bandeja de
Windows (zona reloj)
•
NoViewContextMenu = Mostrar o no Menú contextual
•
NoWebMenu = Mostrar o no Menú Web (Win98\IE 4.0)
•
NoWindowsUpdate = Permitir o no Actualizar Windows(Win98\ME\2000\XP)
•
NoWinKeys = Permitir o no la tecla Win
•
RestrictRun = Permitir o no Ejecutar programas
Atención: Si activas este valor tal vez no puedas ejecutar ningún programa.
Algunos de estos valores también se encuentran en:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer
Ejemplo:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoControlPanel [hex] = Permitir o no Panel de control
La mayoría de la configuración de "CURRENT_USER", sobre todo aquellas que
afectan al sistema, cambian automáticamente al modificar su valor similar en
"LOCAL_MACHINE".
Las restricciones de Internet Explorer 4.0x\5.xx\6.xx se encuentran bajo estas claves:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
y:
HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Restrictions
Si hay más de un usuario configurado, cada uno tendrá su clave particular.
•
NoAdressBar = desactiva la Barra de direcciones.
•
NoBrowserContextMenu = Permitir o no menú contextual en HTML
•
NoBrowserClose = Permitir o no Cerrar\Salir y Alt+F4 en "Archivo"
•
NoBrowserSaveAs = Permitir o no Guardar\Guardar como... en "Archivo"
•
NoBrowserOptions = Permitir o no Herramientas\Opciones de Internet
•
NoFavorites = Permitir o no "Favoritos" y Alt+A
•
NoFileOpen = Permitir o no "Abrir" de "Archivo", Ctrl+A y Ctrl+L
•
NoFileNew = Permitir o no "Nuevo" en "Archivo" y Ctsl+U
•
NoFileUrl = Permitir o no acceso a archivos locales mediente su Dirección
(URL)
•
NoFindFiles = Permitir o no "Buscar" y F3
•
NoLinksBar = desactiva la barra de enlaces.
•
NoSelectDownloadDir = Permitir o no "Guardar como.." al bajar un archivo
•
NoTheaterMode = Pemitir o no Pantalla completa (modo kiosko) y F11
•
NoToolBar = desactiva la barra de herramientas
•
NoToolbarOptions = desactiva añadir, eliminar y mover la barra de herramientas
Las restricciones de las Propiedades de Internet para MS Internet Explorer
4.0x\5.xx\6.xx (además del Panel de control) se encuentran en esta clave del Registro:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular.
•
Accessibility = Permitir o no configurar "Accesibilidad"
•
Advanced = Permitir o no configurar "Avanzado"
•
AdvancedTab = Poner o quitar la ficha "Avanzado"
•
Autoconfig = Permitir o no configurar "Autoconfiguración"
•
Cache = Permitir o no confugurar la caché
•
CalendarContact = Permitir o no configurar Contactos
•
Check_If_Default = Permitir o no chequear si el IE es el navegador por defecto
•
Connection Settings = Permitir o no Configurar la conexión
•
Certificates = Permitir o no configurar "Certificados"
•
CertifPers = Permitir o no configurar Certificados Personales
•
CertifSite = Permitir o no configurar Certificados Públicos
•
Colors = Permitir o no configurar Colores
•
Connection Wizard = Permitir o no el Asistente de conexión
•
ConnectionsTab = Permitir o no ficha de Conexiones
•
Connwiz Admin Lock = Permitir o no Asistente de conexión administrativa
•
ContentTab = Permitir o no la ficha de Contenidos
•
Fonts = Permitir o no la ficha de Fuentes
•
FormSuggest = Permitir o no configurar sugerencia de los Formularios
•
FormSuggest Passwords = Permitir o no configurar clave
•
GeneralTab = Permitir o no la ficha General
•
History = Permitir o no la ficha Historial
•
HomePage = Permtir o no configurar la página de inicio
•
Languages = Permitir o no configurar Idiomas
•
Links = Permitir o no configurar Enlaces
•
Messaging = Permitir o no configurar MS Mesenger
•
Profiles = Permitir o no configurar Perfiles
•
ProgramsTab = Permitir o no la ficha Programas
•
Proxy = Permitir o no configurar Proxy
•
Ratings = permitir o no configurar la clave
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
ResetWebSettings = Permitir o no configurar Borrar Web
•
SecAddSites = Permitir o no configurar Añadir sitios seguros
•
SecChangeSettings = Permitir o no hacer cambios de seguridad
•
SecurityTab = Permitir o no la ficha de seguridad
•
Settings = Permitir o no cajas de Configuración
•
Wallet = Permitir o no la configuración de MS Wallet (MS IE 5.xx)
Las políticas de restrccionde de MS Net Meeting se encuentran en esta clave:
HKEY_USERS\.Default\Software\Policies\Microsoft\Conferencing
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular
•
CallSecurity = Permitir o no Seguridad
•
IntranetWebDirURL = Permitir o no directorio Web en Intranet
•
MaximumBandwidth = Permitir o no máximo ancho de banda
•
NoAddingDirectoryServers = Permitir o no añadir servidores
•
NoAdvancedCalling = Permitir o no "Avanzado"
•
NoAllowControl = Permitir o no Control
•
NoAppSharing = Permitir o no Compartir
•
NoAudio = Permitir o no Audio
•
NoAudioPage = Permitir o no configurar Audio
•
NoChangeDirectSound = Permitir o no cambiar DirectSound
•
NoChat = Permitir o no Chatear
•
NoDirectoryServices = Permitir o no Servicios de directorios
•
NoFullDuplex = Permitir o no Duplex
•
NoGeneralPage = Permitir o no Generall
•
NoNewWhiteBoard = Permitir o no Nueva Pizarra
•
NoOldWhiteBoard = Permitir o no Vieja Pizarra
•
NoReceivingVideo = Permitir o no recibir vídeo
•
NoSecurityPage = Permitir o no Seguridad
•
NoSendingFiles = Permitir o no Enviar archivos
•
NoSendingVideo = Permitir o no Enviar Vídeo
•
NoSharing = Permitir o no Compartir
•
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
NoSharingDesktop = Permitir o no Compartir Escritorio
•
NoSharingDosWindows = Permitir o no compartir DOS + Windows
•
NoSharingExplorer = Permitir o no Complartir Explorador
•
NoTrueColorSharing = Permitir o no Compartir control de Color
•
NoVideoPage = Permitir o no compartir control de vídeo
•
NoWebDirectory = Permitir o no Directorio Web
•
Use AutoConfig = Permitir o no autoconfiguración
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Webcheck
En caso de que haya más usuarios, cada uno tendrá su clave con su configuración
particular
•
NoChannelLogging = Permitir o no conectar a los canales
•
NoScheduledUpdates = Permitir o no actualizar
SUPER APLICACIONES
Lo siguiente son aplicaciones diversas, y soluciones que se pueden dar a diversas
situaciones, usando el registro de Windows, así también como métodos poderosos
de manipulación del registro:
A:
Eliminación manual del virus Bardiel(conocido también como Darby.c), en
Windows 98.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Advertencia!!. Esta aplicación la corres a tu propio riesgo, te estoy pasando
el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar
manualmente este virus!!. En todo caso también te lo puedes bajar de la
siguiente web: www.gedzac.tk, en la sección de virus de MachineDramon.
Modificación Diciembre 2007: La página www.gedzak.tk ya no existe, sin
embargo puedes descargar el virus de
www.gedzac.com/binarios/mdm/darbyc.zip
1. Ejecutar el virus “darby.c.exe”, y te aparecerá el siguiente mensaje:
2 . Pues bueno, aunque no lo creas, el mensaje, es falso, el virus ya está
ejecutándose
en
tu
máquina.
Para
comprobarlo,
intenta
ejecutar
el
regedit(Inicio/Ejecutar/regedit). Te mostrará el siguiente mensaje:
3.Oopps!. Una de las características del virus, es que deshabilita la edición del
Registro, pues como ya sabemos, ha puesto la restricción “DisableRegistryTools”,
con el valor “1”. En este caso, dirás, bueno hago un programa en VBScript y
pongo ese valor a “0”, para poder tener acceso al registro de nuevo.
código(copiar en un bloc de notas y grabar con “nombre.vbs”) sería el siguiente:
On Error Resume Next
El
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Dim virus
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
Pero te recomiendo que no lo hagas, porque el virus cuando detecte que el Editor de
Registro(regedit.exe)
está abierto, lo cerrará y lo borrará!, así que mejor no
habilitemos el Editor del Registro.
Presiona Ctrl + Alt + Sup, y verás el Administrador de procesos:
Lo malo es que no te muestra los procesos ocultos y de sistema. Este virus al ser un
proceso oculto se ha autoatribuido características de proceso de sistema, así que no
vas a poder visualizar el proceso del virus con el Administrador de Tareas de
Windows.
Hay un programa llamado Process Explorer, es muy bueno para mostrar procesos y
DLL’s en uso en tiempo real. Búscalo en google y pruébalo.
Al ejecutarlo te muestra algo así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Date cuenta que muchos de estos procesos no se mostraban con el Administrador de
Tareas de Windows. Bueno, los procesos que están enmarcados con Azul, son los
procesos generales de Windows, siempre serán los mismos, en cualquier máquina
que use Windows 98. Los que no están enmarcados, son programas adicionales que
se están usando por ejemplo el proceso del Word(winword.exe) o el proceso del
Winzip(winzip32.exe).
Windows cualquiera sea(W98, WinME, Win2000, WinXP, etc), casi nunca por no
decir nunca usa programa con las extensiones .bat, .scr, .pif, .com que tengan
procesos ocultos. Entonces se deduce que éstos son virus.
Hay casos en que el virus también usa extensiones .exe y se pone nombres parecidos
a archivos de sistema de windows tales como “sysdll.exe”, “sytems.exe”, por eso para
no confundirlos es necesario conocer bien los procesos que Windows 98 siempre usa
(enmarcados en azul).
Ahora veamos los procesos enmarcados en Rojo, eso confirma lo dicho, los
programas
FREEGROUPSUNST.SCR,
GRPSVCHOSTIMG.EXE,
MICROSETUP386.BAT, SDVHTFD.PIF, NGUVST].EXE, ITKLIKR.SCR (este
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
virus cambia los nombres de las copias del virus, así que estos nombres pueden
variar, pero las extensiones seguirán siendo las mismas), están ejecutándose como
procesos ocultos, cosa que no es normal, entonces, esos son los procesos del virus!!!!.
Lo que debemos hacer es matar los procesos del virus, para que no se ejecute más,
para esto, selecciona cada proceso con el mouse y dale un clic y presionar la tecla
Sup(Del) y te mostrará lo siguiente:
Nos está preguntando si queremos matar el proceso de SDVHTFD.PIF. Por supuesto
que responderemos “SI”. Y de manera análoga haces con los otros procesos que
tengan extensiones .pif, .bat, .com, .scr.
4. Una vez que hayas matado los procesos del virus, ten mucho cuidado, !NO
ejecutes ningún programa! ¿Por qué? Pues porque este virus usa la técnica de
interceptación de ejecutables, osea que ha puesto en el registro que todos los
archivos .exe, .bat, .com, .bat, .scr, .pif, ejecuten primero el proceso del virus.
Normalmente
la
asociación
de
los
archivos
.exe
debe
ser
asi(HKEY_CLASSES_ROOT\exefile\shell\open\command):
Con el valor predeterminado "%1" %*.
La
asociación
de
los
archivos
.com
asi(HKEY_CLASSES_ROOT\comfile\shell\open\command):
debe
ser
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Con el valor predeterminado "%1" %*. De manera análoga con los archivos .pif,
.bat, .
La
asociación
de
los
archivos
.scr
debe
ser
asi(HKEY_CLASSES_ROOT\scrfile\shell\open\command):
Pero, cuando la máquina está infectada con este virus, mira como se muestra la
asociación de los archivos, en este caso de los .com:
Y así estarán también las asociaciones de los archivos .exe, .bat, .scr, .pif.
Así que si después de haber matado los procesos del virus ejecutas por ejemplo el
“command.com”, volverás a ejecutar el virus y así entrarás en un circulo vicioso
hasta que el virus empiece a borrar tus archivos y a hacer estragos en tu máquina.
Por eso repito: Una vez que hayas matado los procesos del virus, ten mucho cuidado,
!NO ejecutes ningún programa todavía!.
Así que antes de ejecutar cualquier .exe, .com, .scr, .pif, .bat después de haber
matado los procesos del virus, DEBEMOS RESTABLECER LAS ASOCIACIONES
DE LOS ARCHIVOS CON SUS EXTENSIONES VERDADERAS, para esto he
creado un programa .vbs:
On Error Resume Next
Dim virus
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
klez="@%1@ %*" : klez=replace(klez,"@",chr(34))
klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))
Set virus=CreateObject("WScript.Shell")
virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
Este programa restablece las asociaciones de los archivos .exe, .com, .bat, .pif, .scr, a
su estado original, osea antes de que nuestra máquina se infecte con el virus. Luego
de ejecutar este programa, ya puedes ejecutar cualquier programa sin excepción.
Pero no ha terminado aún la eliminación total del virus!!, así que no te alegres
todavía, lo que hasta ahora hemos hecho es matar los procesos del virus, y
restablecer las asociaciones de las extensiones de los archivos.
Los programas maliciosos, ya sean virus, troyanos, keyloggers, bombas lógicas, etc,
tienen que asegurar Iniciarse cuando Windows se inicie, para esto han puesto sus
claves en cualquiera de las claves de Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnc
e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunO
nce.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Y bueno este virus también ha hecho modificaciones en el autoexec.bat, system.ini,
win.ini.
Así que abrimos el msconfig.exe(Inicio/Ejecutar/msconfig.exe) y marcamos la ficha
autoexec.bat (El autoexec.bat es una archivo antiguo del DOS, se usaba para
ejecutar programas al inicio del
DOS. Windows todavía lo usa, pero con la
característica agregada de que si se quiere
ejecutar un programa al inicio de
windows(32 bits) se debe anteponer el sufijo “@win” seguido de la ubicación del
programa que queremos ejecutar) y vemos algo parecido a esto:
Lo que está enmarcado en rojo es muy raro, muy raro. El autoexec.bat, nunca
debería ejecutar archivos para windows y menos aún con esas extensiones .pif y .scr,
y para colmo con nombres raros como el que ves, así que de nuevo deducimos que
esa es una ruta para ejecutar el virus. Así que puedes desmarcar esa línea rara sin
temor a nada.(las 3 primeras líneas que ves son para indicar el modelo de video, el
código del idioma, y el controlador de teclado respectivamente). También puedes
eliminar esa línea rara en el verdadero autoexec.bat, busca el archivo autoexec.bat y
edítalo(ábrelo con el bloc de notas) y borra la líneas esa y guarda el archivo. Antes
anota el nombre de ese archivo y su ubicación, para después borrarlo. Con borrar
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
las líneas en el autoexec.bat, sólo estamos evitando que se ejecuten al inicio de
windows.
Ahora volvamos al msconfig y vayamos a la ficha System.ini y expandamos el check
que dice [boot], te aparecerá algo así:
El archivo System.ini también permite ejecutar un archivo al inicio de windows, en
ese caso se debe poner al costado de ”shell=Explorer.exe” la ubicación del archivo
que queremos ejecutar, se ve claramente que ese no es un archivo de sistema de
windows ni nada por el estilo. Por lo general, por no decir siempre, aparece
“shell=explorer.exe” nomás, cualquier cosa a su costado es sospechoso, así que
anotamos también el nombre del archivo sospechoso, en este caso “NgUvSt[.exe”.
NOTA: El “explorer.exe” es el programa principal de windows, es el que te muestra
toda la pantalla esa de windows(menú, inicio, carpetas, en fin, es casi todo el entorno
de windows).
Bueno, sigamos, busca el archivo System.ini, edítalo y se muestra algo así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Solamente borra lo que está enmarcado, y guarda el archivo y listo. Listo, una ruta
menos de Ejecución automática del virus.
Ahora volvamos nuevamente al msconfig y selecciona la ficha Win.ini y expande el
check llamado [windows] y aparecerá algo así:
En Load y Run, también se ponen los programas que se quiere que se ejecuten al
inicio de windows, por lo general también están vacíos, y además vemos muy raro
ese nombre, lo anotamos también. Buscamos el archivo Win.ini, y edítalo, y se
muestra algo así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Borra sólo lo que está enmarcado, guarda el archivo y listo.
La ficha Inicio, como ya lo mencioné antes, contiene los archivos que se ejecutan al
inicio que están especificados en el Registro de windows, en claves determinadas.
Veamos la ficha Inicio del msconfig:
Anotamos los nombre raros, esos marcados en rojo, con extensiones pif, scr, bat, exe,
com, pues no son archivos de windows, son el virus, con distintos nombres.
Pues vamos a la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y
encontramos esto:
Y encontramos lo mismo que en la ficha Inicio del msconfig, y bueno, borramos esos
valores y listo. También debemos de haber anotado el nombre de esos archivos.
Luego lo único que nos queda es buscar esos archivos cuyos nombres anotamos y los
borramos y listo.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora sólo falta una cosa, el virus, probablemente ha dejado otros valores en el
registro, y de hecho que lo ha hecho. Así que abramos nuevamente el Editor del
Registro, y busca nombres relacionados tales como gedzac, darby, bardiel, y sin más
ni más borralos.
Listo!!!, si has hecho todo bien, ya estamos sin virus, ni nada de eso, como si nada
hubiera pasado. Felicitaciones!!!. Is your own hack!!! Follow this way and you’ll
become a hacker!!!. Learn whatever you can!! Never stop, if you have arrived here,
yo go by the correct way.!!!
Hacking=Knowledge, Knowledge=Freedom, Freedom is POWER!!.
B:
Manipulación del registro a través del MS-DOS en Win 98.
Bueno, esta aplicación se puede usar cuando quieras extraer o importar claves del/al
registro sólo usando el MS-DOS.
B.1. Extraer claves del Registro y guardarlas a un archivo.
En el MS-DOS escribe:
regedit /e nombredearchivo [ClavedelRegistroaExportar]Ejemplo:
regedit /e mitruco.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Este comando extraerá la clave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
y la guardará en el
archivo “mitruco.reg”. El archivo se verá algo así:
Si recuerdas, en esa clave están las ubicaciones de los programas que queremos que
se ejecuten al inicio de Windows.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ahora, agreguemos un valor, para ejecutar el command.com al inicio de windows,
agrega al final del archivo lo siguiente:
Y guarda el archivo. Pasemos al siguiente paso.
B.2. Importar claves de un archivo al Registro.
Vamos a importar(Ingresar) las claves de este archivo al Registro. Para esto en el
MS-DOS, escribe esto:
Regedit /s nombredearchivo
/s
: Es opcional, es cuando no quieres que aparezca una ventana de
confirmación preguntando si estás seguro que quieres agregar la información del
archivo al Registro.
Ejemplo:
Listo, Registro manipulado a través del MS-DOS.!!
C:
Eliminación manual del virus Bardiel.d (darby.c) de Win XP.
Advertencia!!. Esta aplicación la corres a tu propio riesgo, te estoy pasando
el virus, en el zip comprimido(la clave es bardielcito), y vamos a desinfectar
manualmente este virus!!. En todo caso también te lo puedes bajar de la
siguiente web: www.gedzac.tk, en la sección de virus de MachineDramon.
La eliminación de este virus, en Win Xp será más alucinante, pues vamos a usar
mucho el Intérprete de comandos que tiene Xp(cmd.exe). Este intérprete tiene
comandos diversos, entre ellos uno que permite la total manipulación del registro
solamente usando el Intérprete, otro que permite visualizar todos los procesos que se
están ejecutando en una máquina e incluso en una máquina remota, otro que
permite matar estos procesos también. Y muchos más!!.
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Primero, ejecutar el virus Darby.c, y se muestra el siguiente mensaje:
Como ya dijimos anteriormente, este es un mensaje falso, el virus en realidad ya
está ejecutándose en tu máquina. Este virus, en Windows Xp no sólo evita que
puedas acceder al Editor del registro, sino que también a veces evita que aparezca
el Administrador de Tareas, compruébalo: Intenta abrir el Editor de registro, y te
aparecerá esto:
Hasta aquí sabemos que el virus ha puesto el valor de “DisableRegistryTools” con
el valor de “1”, para que no podamos editar el Registro.
Hay veces que también no nos deja ver el Administrador de tareas, presionando
Ctrl + Alt + Sup. Así que para no estar esperando que nos restrinja el acceso al
Administrador de Tareas, mejor vamos a usar el poderoso Intérprete de
comandos.
Abre un Intérprete de comandos, y escribe: tasklist y Enter, y te mostrará los
procesos ejecutándose en tu máquina:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Fíjate bien en los procesos enmarcados en amarillo, son raros, además Windows
no tiene ningún programa que tenga esos nombres, fíjate también que incluso
intenta despistarnos con nombres como CLIPGROUPSUPD.PIF, , como ya lo dije
mira también esas extensiones.
Bueno los números al costado de estos procesos son llamados PID’s (Process
IDentifier’s)(Son números que el Sistema Operativo asigna a cada proceso para
identificarlos, así cuando quiere usar ese proceso, solamente puede usar ese
número(PID) para referirse a él.
Así que anota cada PID de cada proceso raro(enmarcado en amarillo en nuestro
caso), solamente de los raros y desconocidos, no lo olvides, en mi caso yo anoto: 1832,
1296, 160, 368, 728 y 1724.
Ahora en el Intérprete de comandos, escribimos esto:
taskkill /f /pid numerodeprocesoquequeremosmatar
Así:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
La opción /f es para forzar el cierre de esos procesos, ya que muchas veces algunos
procesos no se dejan matar tan fácilmente, por eso la opción /f, no le dará espacio a
negarse. Jajajaja
Y así de manera rápida con cada proceso cuyo PID anotaste. Luego que has matado
todos estos procesos (que eran del virus), debemos asegurarnos de que hemos
matado a todos esos indeseables, así que escribimos de nuevo en el intérprete:
tasklist
Mira que ya no hay procesos raros ahora, pero si en tu máquina aparecen todavía,
anota sus PID’s y vuelve a eliminarlos con el taskkill.
Bueno, ahora que hemos matado los procesos del virus. Tengamos cuidado, no
ejecutes todavía ningún programa!!!!. Ya sabes que este virus ha modificado las
asociaciones de las extensiones .exe, .com, .bat, .pif, .scr, .cmd, con los programas del
virus. Así que debemos restablecer esas asociaciones, volvemos a usar el programa
en VBScript:
On Error Resume Next
Dim virus
klez="@%1@ %*" : klez=replace(klez,"@",chr(34))
klez1="@%1@ /S" : klez1=replace(klez1,"@",chr(34))
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Set virus=CreateObject("WScript.Shell")
virus.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\cmdfile\shell\open\command\",klez
virus.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\",klez1
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
virus.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
Lo ejecutamos y listo, ya tenemos las asociaciones originales con las extensiones.
Después de esto, ya podemos ejecutar cualquier programa. Y también podemos
abrir el Editor del Registro, y también ver el Administrador de Tareas.
Ahora el paso final: Debemos de evitar que el virus se vuelva a activar con el Inicio
de Windows.
Abramos la Utilidad de Configuración del sistema(msconfig.exe) y vayamos a la
ficha Inicio, te preguntarás y porqué ya no voy a las fichas System.ini y Win.ini. La
respuesta que Windows XP maneja de manera diferente a estos archivos, de tal
modo que ya no los utiliza para cargar programas al Inicio de Windows, aunque lo
podría hacer tal vez, pero este virus, no lo hace. Así que sigamos en la ficha Inicio:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Ya puedes ver que este virus ha intentado asegurar su estadía en tu máquina, anota
los nombre de estos archivos, su ubicación y las claves del Registro en las que aloja
las llamadas a estos programas.
Abre el Editor del registro y ve a la clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Borra estas dos claves que son las que llaman al virus al inicio de Windows, y busca
los nombre de esos archivos en la ubicación mostrada, por ejemplo, en mi caso: en
C:\WINDOWS\system32\CLIPGROUPSUPD.PIF, y borra ese archivo.
Es más que seguro que no vas a encontrar ese archivo, así nomás pues se ha puesto
atributos de sistema y oculto. Así que abre de nuevo el Intérprete y escribe lo
siguiente:
cd \windows\system32
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Para ver los archivos ocultos, escribe: dir /ah
Para ver los archivos de sistema, escribe: dir /as
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Date cuenta que los mismos archivos se muestran como archivos de sistema y ocultos
a las vez, esto hace un poco difícil la tarea de eliminarlos, así que vamos a quitarles
esos atributos. Escribe ahora en el Intérprete:
attrib -h -s *.*
Al hacer esto se quita los atributos de ocultos(-h) y de sistema (-s) a todos los
archivos(*.*). Después de hacer esto, busca cada archivo, para buscar archivos en el
Intérprete escribir:
dir regview*.com
Lo que ha hecho este comando es mostrar todas las palabras que empiecen por
“regvie” y el asterisco indica que después de “regvie” no importa que diga, sólo
mostrará los archivos cuyos nombres empiecen por “regvie”.
Luego, para eliminar los 2 archivos virus que nos muestra, escribimos:
del nombredearchivo
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
De forma análoga, haz con los demás archivos virus:
El último nombre que estaba en la ficha Inicio del Msconfig, estaba en la siguiente
ubicación:
Busca también esa clave en el registro y bórrala.
Ahora, falta sólo unas cositas más. Windows Xp, al iniciarse, llama al explorer.exe
desde el registro, esta llamada está en la siguiente clave de Registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Al costado derecho esta un valor del tipo cadena llamado “Shell”, míralo y verás que
tiene la llamada al programa explorer.exe. Normalmente solamente debiera haber la
llamada a este programa, pero como el programador de este virus se dio cuenta de
esto, intentó asegurar también la ejecución de su virus por este medio.
Entonces lo único que nosotros debemos hacer es dar clic derecho en este valor de
cadena llamado “shell” y escoger modificar, y solamente borrar lo siguiente:
Felipe Reynaldo González Linares
www.mygeekside,com / www.es.mygeekside.com
admin@mygeekside.com
Y luego das en Aceptar.
Luego de esto, abre el Intérprete y busca el archivo ese X’’BJT].scr y bórralo,
después lo único que debes hacer es buscar en el registro palabras relacionadas con
el virus tales como bardiel, darby, gedzac, etc.
Finalmente, estás libre del virus!!!. Felicitaciones nuevamente!!.
Ten cuenta, que muchas de estas técnicas, pueden ser aplicadas para la eliminación
de otros virus. Ya tienes las bases suficientes, que por cierto son poderosas. Ahora
sólo tu imaginación pondrá los límites.
Nota agregada Diciembre 2007:
Este documento fue escrito aproximadamente en Abril de 2005. No he querido
modificar ya nada, toda la información aún es válida. Es uno de mis tutoriales que
hice en tiempos que estaba en la universidad. Lo dejo a propósito sin modificaciones
por respeto al conocimiento que tenía en aquel tiempo. Es claro también que hay
muchas cosas que no están cubiertas aquí. Traté de mostrar en este tutorial formas
de aplicar el conocimiento obtenido a situaciones de la vida real que en aquel tiempo
y que hasta ahora fueron y son válidas.
Related documents
Cuidado con los Virus (Parte I) Julian Speciale Algunas personas se
Cuidado con los Virus (Parte I) Julian Speciale Algunas personas se
Atributos de archivos windows - informatica-fitec
Atributos de archivos windows - informatica-fitec
El Registro de Windows
El Registro de Windows
RECOVERY LABS
RECOVERY LABS
El Registro de Windows 7 - ASIRIVANRODRIGUEZSANCHEZ
El Registro de Windows 7 - ASIRIVANRODRIGUEZSANCHEZ
Consideraciones de seguridad de alto nivel de software
Consideraciones de seguridad de alto nivel de software
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A
20 VIRUS Y SU FORMA DE ELIMINAR 1. WIN32/SPY.BEBLOH.A
1 - IHMC Public Cmaps (2)
1 - IHMC Public Cmaps (2)
Windows 98
Windows 98
Herramientas de mantenimiento de Windows
Herramientas de mantenimiento de Windows
manual de programacion en batch por dhyablo
manual de programacion en batch por dhyablo
de Windows. - Universidad de Sevilla
de Windows. - Universidad de Sevilla
informe de la clase de informatica primer encuentro
informe de la clase de informatica primer encuentro
Eliminar virus que convierte carpetas en accesos directos (.lnk) en
Eliminar virus que convierte carpetas en accesos directos (.lnk) en
Análisis de virus con herramientas específicas
Análisis de virus con herramientas específicas