Каков путь к кусту реестра NT AUTHORITY \ SYSTEM?

8

Если я открою реестр с учетной записью SYSTEM в Windows с помощью инструмента PSExec от SysInternals :

psexec -i -s regedit

и я изменяю запись, например, здесь:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Я предполагаю, что соответствующий NTUSER.DATфайл будет изменен.

Какой путь к этому NTUSER.DATфайлу?

windows  windows-registry 
Сопалахо де Арриерес
источник
Я думаю, что это c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Какая версия винды?
Я говорю Восстановить Монику
Ну, @ultrasawblade, на самом деле там есть ntuser.datфайл. Я пытаюсь просмотреть его из инструмента Linux, chntpwчтобы проверить, что это такое, но дерево ключей \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Сопалахо де Арриерес
1
@ Твисти, я проверяю этот вопрос с Windows XP SP3 и Windows 7. Я думаю, что большинство версий Windows ведут себя одинаково.
Сопалахо де Арриерес
Не правда. Я считаю, что Windows 7 хранит кусты реестра LocalSystem и NetworkService в C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat и C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat 'соответственно. Эти папки не существуют в XP.
Я говорю Восстановить Монику

Ответы:

3

Вопреки общему мнению, ntuser.datфайл в папке профиля пользователя LocalSystem ( \Windows\System32\config\systemprofile) не является источником HKEY_CURRENT_USERдля приложений, работающих как SYSTEM. Насколько я могу судить, он фактически ни для чего не используется и содержит очень мало информации.

В действительности, HKCU для приложений, работающих как SYSTEM, находится .DEFAULTпод HKEY_USERS. (Я рассмотрю еще одно распространенное заблуждение: .DEFAULT не шаблон для новых пользовательских профилей , ntuser.datв \Users\Defaultis.) .DEFAULTХранится на диске в файле с именем \Windows\System32\config\DEFAULT. См. Статью MSDN о файлах поддержки реестра .

Также интересно: список файлов поддержки для различных иерархий реестра, в том числе .DEFAULT, можно найти в HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Бен Н
источник
Ожидается ли это будет действительным для любой версии Windows?
Сопалахо де Арриерес
@SopalajodeArrierez По сути, да, из Windows NT и далее, с соответствующей заменой \WinNTдля \Windowsи \Documents and Settingsдля \UsersWindows XP. Дальнейшее чтение в TechNet
Бен N
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.