Chuleta del registro de Windows - sevioptero/Windows_info GitHub Wiki

Table of Contents

Sobre el registro de Windows

Las posibles claves raíz son:

Abreviatura Clave
HKLM HKEY_LOCAL_MACHINE
HKCU HKEY_CURRENT_USER
HKCR HKEY_CLASSES_ROOT
HKU HKEY_USERS
HKCC HKEY_CURRENT_CONFIG
HKEY_PERFORMANCE_DATA
HKEY_DYN_DATA

Los tipos de dato más comunes son:

Tipo Descripción
REG_SZ Valor de cadena
REG_MULTI_SZ Valor de cadena múltiple
REG_EXPAND_SZ Valor de cadena "expandible"
REG_DWORD Número entero no negativo de 32 bits
REG_QWORD Número entero de 64 bits
REG_BINARY Dato binario
REG_NONE Datos sin ningún tipo 
 Si se omite, se asume que el tipo es REG_SZ.

Ubicación de los hives

Registry hive Archivo
HKEY_CURRENT_CONFIG C:\Windows\System32\config\SYSTEM
HKEY_CURRENT_USER %USERPROFILE%\NTUSER.DAT
HKEY_LOCAL_MACHINE\SAM C:\Windows\System32\config\SAM
HKEY_LOCAL_MACHINE\Security C:\Windows\System32\config\SECURITY
HKEY_LOCAL_MACHINE\Software C:\Windows\System32\config\SOFTWARE
HKEY_LOCAL_MACHINE\System C:\Windows\System32\config\SYSTEM
HKEY_USERS_DEFAULT C:\Users\Default\NTUSER.DAT

Consulta del registro

Listar los valores dentro de una clave del registro 

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Listar un valor concreto dentro de una clave del registro 

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v dontdisplaylastusername

Buscar el valor de clave “dontdisplaylastusername” en la raíz HKLM 

reg query hklm /f dontdisplaylastusername /s

Modificación del registro

Agregar una clave al registro 

reg ADD HKLM\SOFTWARE\MiClave

Agregar un valor a una clave del registro 

reg ADD HKLM\SOFTWARE\MiClave /v MiValor /t REG_DWORD /d 1
reg ADD HKLM\SOFTWARE\MiClave /v MiValor2 /t REG_SZ /d "MiDato"
reg ADD HKLM\SOFTWARE\MiClave /v MiValor3 /t REG_BINARY /d 1

Modificar un valor de una clave del registro 

reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v dontdisplaylastusername /t REG_DWORD /d 1

Modificar un valor de una clave del registro sin confirmación 

reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v dontdisplaylastusername /t REG_DWORD /d 1 /f

Eliminar una clave del registro y sus subclaves y valores 

reg DELETE HKLM\SOFTWARE\MiClave

Eliminar un valor de una clave del registro 

reg DELETE HKLM\SOFTWARE\MiClave /v MiValor3

Eliminar un valor de una clave del registro sin confirmación 

reg DELETE HKLM\SOFTWARE\MiClave /v MiValor2 /f

Trabajar con hives externos

Consultar el registro de otro equipo

Si queremos leer el registro de otro equipo, o de un equipo que no inicia Windows, podemos hacerlo montando el hive. Para ello debemos conocer la ruta del archivo del hive. Cargamos el archivo del registro en HKLM\WINPE. 

reg load HKLM\WINPE\ "C:\WinPE\mount\Windows\System32\config\SOFTWARE"

Hacemos las consultas que queramos al registro montado: 

reg query "HKLM\WINPE\Microsoft\Windows NT\CurrentVersion" /v "CurrentBuild"

Una vez hechas las consultas descargamos el archivo de registro: 

reg unload HKLM\WINPE

Obtener el nombre de un equipo

Si tenemos el disco duro de un equipo y queremos ver el nombre de equipo. Cargamos el archivo del registro en HKLM\Mount: 

reg load HKLM\Mount\ "H:\Windows\System32\config\SYSTEM"

Consultamos el nombre de equipo: 

reg query "HKLM\Mount\ControlSet001\Control\ComputerName\ComputerName" /v "ComputerName"

Recursos

Microsoft Docs

Wikipedia:

www-fwhibbit-es:

www-sysadmit-com

Jose Espitia

Microsoft Support

Group Policy Search

⚠️ **GitHub.com Fallback** ⚠️