Если я открою реестр с учетной записью SYSTEM в Windows с помощью инструмента PSExec от SysInternals :
psexec -i -s regedit
и я изменяю запись, например, здесь:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Я предполагаю, что соответствующий NTUSER.DATфайл будет изменен.
Какой путь к этому NTUSER.DATфайлу?
windows
windows-registry
Сопалахо де Арриерес
источник
источник
ntuser.datфайл. Я пытаюсь просмотреть его из инструмента Linux,chntpwчтобы проверить, что это такое, но дерево ключей\Software\Microsoft` only contains a tree namedCTF. There is nothing about the rest of theHKEY_CURRENT_USER`.Ответы:
Вопреки общему мнению,
ntuser.datфайл в папке профиля пользователя LocalSystem (\Windows\System32\config\systemprofile) не является источникомHKEY_CURRENT_USERдля приложений, работающих как SYSTEM. Насколько я могу судить, он фактически ни для чего не используется и содержит очень мало информации.В действительности, HKCU для приложений, работающих как SYSTEM, находится
.DEFAULTподHKEY_USERS. (Я рассмотрю еще одно распространенное заблуждение:.DEFAULTне шаблон для новых пользовательских профилей ,ntuser.datв\Users\Defaultis.).DEFAULTХранится на диске в файле с именем\Windows\System32\config\DEFAULT. См. Статью MSDN о файлах поддержки реестра .Также интересно: список файлов поддержки для различных иерархий реестра, в том числе
.DEFAULT, можно найти вHKLM\SYSTEM\CurrentControlSet\Control\hivelist.источник
\WinNTдля\Windowsи\Documents and Settingsдля\UsersWindows XP. Дальнейшее чтение в TechNet