Índice del artículo


 

6. Cargando archivos hive manualmente

Como ya hemos visto los archivos hive se cargan automáticamente durante el arranque, pero ¿qué pasa si queremos ver su contenido? Aunque todos los archivos hive, ubicados en el directorio \windows\system32\config, son cargados y su contenido puede ser visualizado desde el registro, o con las correspondientes opciones del sistema operativo, es posible que queramos ver un archivo hive, que no se haya cargado. Un ejemplo, es el archivo ntuser.dat, que contiene el perfil del usuario actualmente logueado. Este archivo se ubica en la carpeta que contiene el perfil del usuario es decir en \Documents and Settings\nombre_usuario. Es un archivo que suele estar oculto. Si el usuario esta logueado veremos las opciones que tiene predefinidas, pero sino esta logueado será imposible. Pues bien, para estas tareas podemos hacer una carga del archivo hive de forma manual.

La carga de estos archivos solo es posible hacerla desde dos ramas la rama HKEY_USERS y la rama HKEY_LOCAL_MACHINE, de las que, como ya vimos, derivaban las demás. Si abrimos el registro (Inicio/Ejecutar y tecleamos regedit) veremos que en el menú "Archivo" se nos activa una opción, llamada “cargar subárbol” y seleccionamos el archivo hive que queremos cargar. Siguiendo con el ejemplo, y si queremos cargar el perfil de un usuario que no esté actualmente logueado, tendríamos que navegar hasta la carpeta del perfil del usuario que queramos recuperar, y seleccionar el archivo “ntuser.dat” apropiado, posteriormente deberemos seleccionar una clave en donde cargarlo. Yo, personalmente, para estas pruebas aconsejo crear una subraya en HKEY_USERS, que se llame “pruebas”, por ejemplo. Cuando finalice el proceso veremos que toda la estructura que tenemos en “HKEY_CURRENT_USERS” y que refleja las preferencias del usuario actualmente logueado, es reproducida en nuestra carpeta de pruebas, pero con las preferencias de usuario de alguien que en este caso no está logueado…. ¿Qué utilidad tiene todo esto? Pues muchas, porque podemos crear un script que nos cambie el salvapantallas por ejemplo de todos los usuarios existente en la máquina. Desde línea de comandos también se puede hacer este mismo procedimiento con nuestro querido comando “REG”. Además, yo lo veo hasta más sencillo por comandos, un ejemplo:

reg load HKU\prueba "e:\documents and settings\fermu\ntuser.dat"
(nos cargaría el perfil de un usuario no logueado en la clave HKEY_USERS\prueba)

reg add "HKU\prueba\Control Panel\Desktop" /v Wallpaper /t REG_SZ
/d "E:\Documents and Settings\fermu.MAQUINA.000\Configuración
local\Datos de programa\Microsoft\Wallpaper1.bmp"
(le cambiaríamos el fondo de escritorio a ese usuario en concreto,)

reg unload HKU\prueba
(finalmente descargaríamos el perfil de ese usuario del registro)
Mediante la GUI, el equivalente de “reg unload” es “descargar subárbol” ubicado en el menú archivo.