martes, 8 de marzo de 2016

Volcar el registro de Windows que se está usando

Me he estado pegando con un pequeño problema con el registro. Necesitaba obtener información del mismo, pero al estar bloqueado la lectura de las herramientas no era posible. ¿Qué puedo hacer? Tendrás que volcar el registro que se está usando en una ubicación a parte y a partir de aquí trabajar sobre ese volcado.

Lo primero de todo: No debería de hacer falta decir que equivocarse en una operación de este tipo podría dejar la instalación de Windows para los restos. Dicho de otro modo: que deje de funcionar. Avisado estás.
Windows nos ofrece una herramienta que se llama reg. Además de poder manipular los datos del registro nos permite extraer los valores de sus claves incluyendo sus hijos. Tiene varios parámetros: query, import¸ export, save. A nosotros nos interesa este último. ¿Qué parámetros acepta este modo de trabajo (por llamarlo de un modo? Nos acepta:

a) La clave que deseamos extraer. Que serán: SECURITY, SAM, SOFTWARE y SYSTEM.
b) Ruta destino de cada extracción. Es decir: sobre qué fichero queremos hacer la extracción.

Para muestra los siguientes ejemplos:

reg save HKLM\SOFTWARE d:\datos\pruebas\registro\SOFTWARE
reg save HKLM\SYSTEM d:\datos\pruebas\registro\SYSTEM
reg save HKLM\SAM d:\datos\pruebas\registro\SAM
reg save HKLM\SECURITY d:\datos\pruebas\registro\SECURITY

Una vez los hemos extraído ya podremos trabajar con estos hives sin ningún problema. Un ejemplo sería poder analizar su contenido. 

No hay comentarios:

Publicar un comentario