Який шлях до вулика реєстру NT AUTHORITY \ SYSTEM?

8

Якщо я відкрию реєстр з обліковим записом SYSTEM в Windows, використовуючи інструмент PSExec від SysInternals :

psexec -i -s regedit

і я змінюю запис, наприклад, тут:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Я припускаю, що відповідний NTUSER.DATфайл буде змінено.

Який шлях до цього NTUSER.DATфайлу?

windows  windows-registry 
Сопалахо де Аррієрес
джерело
Я думаю, що це c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Яка версія Windows?
Я кажу: Відновіть Моніку
Ну, @ultrasawblade, насправді ntuser.datфайл там є. Я намагаюся переглянути його з інструмента Linux, chntpwщоб перевірити, що це таке, але ключове дерево \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@Twisty, я тестую це питання за допомогою Windows XP SP3 та Windows 7. Я думаю, що більшість версій Windows поводяться однаково.
Sopalajo de Arrierez
Неправда. Я вважаю, що Windows 7 зберігає вулики реєстру LocalSystem та NetworkService за адресою "C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat" та C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat "відповідно. Ці папки не існують на XP.
Я кажу, відновіть Моніку

Відповіді:

3

На відміну від загальної інтуїції, ntuser.datфайл у папці профілю користувача LocalSystem ( \Windows\System32\config\systemprofile) не є джерелом HKEY_CURRENT_USERдля програм, що працюють як SYSTEM. Наскільки я можу сказати, насправді він ні для чого не використовується, і він містить дуже мало інформації.

Насправді, HKCU для додатків , що працюють як система знаходиться .DEFAULTпід HKEY_USERS. (Я звернуся ще поширена помилка: .DEFAULT це не шаблон для нових профілів , ntuser.datв \Users\Defaultце.) .DEFAULTЗберігається на диску в файлі \Windows\System32\config\DEFAULT. Див . Статтю MSDN про файли, що підтримують реєстр .

Також цікаво: список резервних файлів для різних ієрархій Реєстру, в тому числі .DEFAULT, можна знайти в HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Бен Н
джерело
Очікується, що це дійсно для будь-якої версії Windows?
Sopalajo de Arrierez
@SopalajodeArrierez За суті так, від Windows NT і, при відповідній підстановки \WinNTдля \Windowsі \Documents and Settingsдля \Usersна Windows XP. Подальше читання у TechNet
Ben N
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.