O Registro do Windows (Windows Registry) é um banco de dados hierárquico (em forma de árvore) que contém registros que definem as definições e configurações dos sistemas operacionais Microsoft Windows.
O registro, como aparece quando visualizado pelo editor de registro, é formado por dados cujas fontes são arquivos de registro e informações de hardware coletadas durante o processo de inicialização. O termo Hive é usado para descrever os arquivos de registro em inglês. A documentação da Microsoft traduz esse termo como Shrub.
Principais arquivos responsáveis pela formação do registro
Os arquivos de registro são criados durante o processo de instalação do sistema operacional e são armazenados em uma pasta:
%SystemRoot%\system32\config (geralmente C:\windows\system32\config).
Nos sistemas operacionais Windows, esses arquivos são denominados:
- system
- software
- sam
- security
- default
- components
- bcd-template
No Windows Vista, Windows 7, Windows 8, Windows 8.1 e Windows 10, os arquivos de registro estão localizados no diretório \Windows\system32\config e têm os mesmos nomes, mas esses sistemas operacionais adicionaram uma nova seção de registro para armazenar dados de configuração de inicialização com o nome BCD00000000.
O arquivo de dados dessa partição é denominado bcd e está localizado na pasta oculta Boot da partição ativa (a partição a partir da qual o sistema é inicializado).
Normalmente, durante uma instalação padrão do Windows, é criada uma pequena partição ativa (100 a 500 megabytes, dependendo do sistema operacional), que fica oculta para o usuário e contém apenas dados de serviço para inicializar o sistema – registros de inicialização, bootmgr do gerenciador de inicialização, BCD do armazenamento de configuração de inicialização, arquivos de localização e programas de teste de memória
O local do heap bcd depende de como o carregador de inicialização do sistema é configurado quando o sistema é instalado e pode estar na mesma partição que o diretório do Windows.
O local dos arquivos de registro em qualquer versão do Windows pode ser visualizado usando o Registry Editor, em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
Essa seção armazena informações sobre todos os clusters, incluindo perfis de usuário, com links para sua localização no sistema de arquivos do Windows.
Estrutura do registro
O Registro do Windows tem uma estrutura em árvore e consiste em 5 seções principais de registro:
HKEY_LOCAL_MACHINE (HKLM) é a maior seção do registro. Ela contém todas as configurações básicas do sistema operacional e do hardware e software do computador. As informações contidas nessa seção se aplicam a todos os usuários que fazem logon no sistema.
HKEY_ CLASSES_ ROOT (HKCR) – contém associações entre aplicativos e tipos de arquivos (por extensão de arquivo). Além disso, essa seção contém informações sobre tipos de arquivos registrados e objetos COM e ActiveX. Além de HKEY_ CLASSES_ ROOT, essas informações também são armazenadas em HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER.
A seção HKEY_LOCAL_MACHINE\Software\Classes contém configurações padrão que se aplicam a todos os usuários do computador local. As configurações contidas em HKEY_CURRENT_USER\Software\Classes substituem as configurações padrão e se aplicam somente ao usuário atual. A seção HKEY_CLASSES_ROOT inclui dados de ambas as fontes.
HKEY_USERS (HKU) – contém configurações de ambiente para cada um dos perfis de usuário carregados, bem como para o perfil padrão. HKEY_USERS contém uma subseção \Default, bem como outras subseções definidas pela ID de segurança (Security ID, SID) de cada usuário.
HKEY_CURRENT USER (HKCU) – contém configurações de ambiente para o usuário conectado no momento (variáveis de ambiente, configurações de área de trabalho, configurações de rede, aplicativos e dispositivos conectados).
Essa seção duplica as informações em HKEY_USERS\user SID, em que o SID do usuário é o identificador de segurança do usuário atualmente registrado no sistema (você pode descobrir o SID do usuário atual digitando whoami /user na linha de comando).
HKEY_CURRENT_ CONFIG (HKCC) – contém configurações para o perfil de hardware atual. O perfil de hardware atual inclui conjuntos de alterações feitas na configuração padrão do dispositivo especificada nas subseções Software e System da seção raiz HKEY LOCAL_MACHINE.
Somente as alterações são refletidas em HKEY_CURRENT_CONFIG. Além disso, as informações dessa seção podem ser encontradas em HKEY_LOCAL_MACHINE\System\CurrentControlSet\HardwareProfiles\Current.
Os dados no registro são armazenados na forma de parâmetros localizados nas chaves do registro. Cada parâmetro é caracterizado por nome, tipo de dados e valor.
Principais tipos de dados usados no registro
REG_DWORD é um número de 32 bits. Esse tipo de dados é usado por muitos parâmetros de driver de dispositivo e de serviço. Os editores de registro podem exibir esses dados em formato binário, hexadecimal e decimal.
REG_SZ – Uma cadeia de texto em um formato legível por humanos. Os valores que representam as descrições dos componentes geralmente são atribuídos a esse tipo de dados.
REG_EXPAND_SZ – Cadeia de dados extensível. Essa cadeia é um texto que contém uma variável que pode ser substituída quando chamada do lado do aplicativo, por exemplo, usada para registrar variáveis de ambiente.
REG_MULTI_SZ – Campo com várias linhas. Os valores que são, na verdade, listas de cadeias de texto em um formato legível por humanos geralmente têm esse tipo de dados. As cadeias de caracteres são separadas pelo caractere NULL.
REG_BINARY – Dados binários. A maioria dos componentes de hardware usa informações que são armazenadas como dados binários. Os editores de registro exibem essas informações em formato hexadecimal.
REG_RESOURCE_LIST – Lista de recursos de hardware. Aplica-se somente na ramificação HKEY_LOCAL_MACHINE\HARDWARE.
Às vezes, você também pode ver esses tipos de dados de registro:
- REG_RESOURCE_ REQUIREMENTS_LIST – Lista de recursos de hardware necessários. Aplica-se somente na ramificação HKEY_LOCAL_MACHINE\HARDWARE.
- REG_FULL_RESOURCE_ DESCRIPTOR – Descritor de recursos de hardware. Aplica-se somente na ramificação HKEY_LOCAL_MACHINE\HARDWARE.
- REG_LINK – Link simbólico Unicode. Esse tipo de dados é interessante porque permite que um item do registro faça referência a outra chave ou parâmetro.
- REG_QWORD – Número de 64 bits.
- REG_DWORD_ LITTLE_ENDIAN é um número de 32 bits no formato “little-endian”, equivalente a REG_DWORD.
- REG_DWORD_BIG_ ENDIAN – número de 32 bits no formato big-endian.
- REG_QWORD_LITTLE_ ENDIAN – número de 64 bits no formato “sharp-endian”. Equivalente a REG_QWORD.
- REG_NONE – O parâmetro não tem um tipo de dados definido.
Interação do registro com o sistema operacional
Ao iniciar o computador, o reconhecedor de hardware coloca uma lista dos dispositivos que detecta no registro. Normalmente, o reconhecimento de hardware é realizado pelo Ntdetect.com e pelo kernel do sistema operacional Ntoskrnl.exe.
Na inicialização do sistema, o kernel do sistema recupera informações do registro sobre os drivers de dispositivo a serem carregados e a ordem em que são carregados. Além disso, o programa Ntoskrnl.exe envia informações sobre si mesmo (por exemplo, o número da versão) para o registro.
Durante o processo de inicialização do sistema, os drivers de dispositivo comunicam os parâmetros de inicialização e os dados de configuração com o registro. O driver de dispositivo informa os recursos do sistema que utiliza, incluindo interrupções de hardware (IRQ) e canais de acesso à memória (DMA), para que o sistema possa incluir esses dados no registro.
A propósito, o registro permite criar vários perfis de hardware. Um perfil de hardware é um conjunto de instruções que pode ser usado para informar ao sistema operacional quais drivers de dispositivo devem ser carregados quando o computador for iniciado. Por padrão, o sistema cria um perfil de hardware padrão que contém informações sobre todos os hardwares detectados no computador.
Quando um usuário faz login, os perfis de usuário são carregados. Todas as informações relacionadas a um nome de usuário específico e aos direitos associados são armazenadas no registro. Um perfil de usuário define configurações individuais do sistema (resolução da tela, configurações de conexão de rede, dispositivos conectados e outros). As informações sobre os perfis de usuário também são armazenadas no registro.
Ao instalar aplicativos. Cada vez que o instalador é executado, novos dados de configuração são adicionados ao registro. Todos os instaladores devem iniciar seu trabalho lendo informações do registro para determinar se os componentes de que precisam estão presentes no sistema. Além disso, o registro do sistema permite que os aplicativos compartilhem informações de configuração, o que lhes dá mais oportunidades de interagir. Um aplicativo deve usar ativa e corretamente o registro e ser capaz de removê-lo corretamente sem afetar os componentes que outros programas podem usar (bibliotecas, módulos de software etc.). Essas informações também são armazenadas no registro.
Ao administrar o sistema. Quando um usuário faz alterações na configuração do sistema usando ferramentas de administração do sistema (como o Painel de Controle ou o snap-in MMC), as alterações são imediatamente refletidas no registro do sistema. Na verdade, as ferramentas administrativas são o meio mais conveniente e seguro de modificar o registro. A propósito, o editor de registro (regedit.exe) também pode ser considerado uma ferramenta administrativa, pois todas as alterações no sistema podem ser feitas diretamente pela edição do registro.
Durante a inicialização e a operação do sistema operacional, os dados do registro são constantemente acessados, tanto para leitura quanto para gravação. Os arquivos de registro estão em constante mudança porque não apenas o sistema, mas também os aplicativos individuais podem usar o registro para armazenar seus próprios dados, configurações e preferências. Em outras palavras, o acesso ao registro é uma das operações mais comuns. Mesmo que o usuário não esteja trabalhando no computador, os acessos ao registro ainda são realizados por serviços do sistema, drivers e aplicativos.
A violação da integridade dos arquivos de registro (violação da estrutura de dados) ou os valores incorretos de alguns parâmetros críticos podem levar à falha do sistema. Portanto, antes de fazer experiências com o registro, certifique-se de que ele possa ser salvo e restaurado.
