O Registro é um banco de dados que contém todas as configurações de hardware, software, drivers de forma hierárquica, necessárias ao funcionamento do sistema operacional e dos aplicativos instalados, presente nos sistemas operacionais Microsoft Windows posteriores à versão 3.11. Nesta versão os arquivos de configuração eram arquivos de extensão INI situados em diversos diretórios do sistema, tornando a administração complexa.
O registro ainda guarda informações acerca de ações realizadas, arquivos recentemente abertos, dispositivos de hardware removível,etc. O registro pode ainda conter dados ocultos, propositalmente escondidos, úteis para uma investigação ou perícia. A estrutura do registro é dividida em cinco ou seis chaves, dependendo da versão do sistema operacional. As chaves são as unidades básicas de informação e se distribuem de forma hierárquica na árvore do registro. Assim temos que as chaves de primeiro nível são indicativas das classes de informação e as chaves abaixo destas apontam para itens mais específicos. As chaves são identificadas inicialmente pelas letras HKEY (H de handle e KEY de chave) seguidas da classe de identificação, conforme vemos a seguir:
Nome das chaves (Abreviatura)
HKEY_CLASSES_ROOT (HKCR) – Contém informações relativas à associação de arquivos aos respectivos softwares criadores, editores ou visualizadores.
HKEY_CURRENT_USER (HKCU) – Contém informações relativas ao perfil do usuário ativo.
HKEY_LOCAL_MACHINE (HKLM) – Contém informações relativas ao hardware e software instalados no equipamento, assim como das configurações do Windows.
HKEY_USERS (HKU) – Contém informações relativas a todos os usuários do equipamento e suas configurações pessoais. A Chave HKEY_CURRENT_USER possui um apontador para o usuário corrente listado na HKEY_USERS. O usuário é identificado na chave pelo SID (security Indentifier).
HKEY_CURRENT_CONFIG (HKCC) –Contém informações relativas ao perfil de hardware do equipamento, se estiver sendo utilizado esse recurso, caso contrário, a chave conterá as informações-padrão do Windows.
HKEY_DYN_DATA (HKDD) – Contém informações dinâmicas da sessão, como driver de dispositivo virtual (VxD), configurações de plug and play, etc., encontrada apenas nos Windows 9X.
Apesar de aparentar ser constituído por um único arquivo, o Windows armazena as informações do registro em arquivos binários denominados de Hives. HKLM e HKU possuem hives em arquivos individuais, HKCR e HKCC são links simbólicos para subchaves em HKLM e HKCU é um link simbólico para a chave primária correspondente em HKU.
No próximo post discutiremos a caracterização do sistema através do registro.