Jaka jest ścieżka do gałęzi rejestru NT AUTHORITY \ SYSTEM?

8

Jeśli otworzę rejestr z kontem SYSTEM w systemie Windows za pomocą narzędzia PSExec z SysInternals :

psexec -i -s regedit

i zmieniam wpis, na przykład tutaj:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Zakładam, że odpowiedni NTUSER.DATplik zostanie zmodyfikowany.

Jaka jest ścieżka do tego NTUSER.DATpliku?

windows windows-registry Sopalajo de Arrierez
źródło
Myślę, że to c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Jaka wersja systemu Windows?
Mówię: Przywróć Monikę
Cóż, @ultrasawblade, w rzeczywistości jest tam ntuser.datplik. Próbuję przeglądać go z narzędzia linux, chntpwaby sprawdzić, co to jest, ale drzewo klucza \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@Twisty, testuję tę sprawę w systemie Windows XP SP3 i Windows 7. Myślę, że większość wersji systemu Windows zachowuje się w ten sam sposób.
Sopalajo de Arrierez
Nie prawda. Wierzę, że Windows 7 przechowuje gałęzie rejestru LocalSystem i NetworkService w odpowiednio „C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat” i C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat '. Te foldery nie istnieją w systemie XP.
Mówię: Przywróć Monikę

Odpowiedzi:

3

Wbrew powszechnej intuicji ntuser.datplik w folderze profilu użytkownika LocalSystem ( \Windows\System32\config\systemprofile) nie jest źródłem HKEY_CURRENT_USERaplikacji działających jako SYSTEM. O ile wiem, nie jest tak naprawdę używany do niczego i zawiera bardzo mało informacji.

W rzeczywistości HKCU dla aplikacji działających jako SYSTEM jest .DEFAULTponiżej HKEY_USERS. (Będę rozwiązać kolejną błędne: .DEFAULT nie jest szablon dla nowych profili użytkownika , ntuser.datw \Users\Defaultto.) .DEFAULTSą przechowywane na dysku w pliku o nazwie \Windows\System32\config\DEFAULT. Zobacz artykuł MSDN na temat plików kopii zapasowej rejestru .

Interesujące: lista plików kopii zapasowych dla różnych hierarchii rejestru, w tym .DEFAULT, można znaleźć w HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N.
źródło
Czy ma to być ważne w przypadku dowolnej wersji systemu Windows?
Sopalajo de Arrierez
@SopalajodeArrierez Zasadniczo tak, z Windows NT i nowszych, z odpowiednim zastąpieniem \WinNTfor \Windowsi \Documents and Settingsfor \UsersWindows XP. Dalsza lektura w witrynie TechNet
Ben N