Якщо я відкрию реєстр з обліковим записом SYSTEM в Windows, використовуючи інструмент PSExec від SysInternals :
psexec -i -s regedit
і я змінюю запис, наприклад, тут:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Я припускаю, що відповідний NTUSER.DATфайл буде змінено.
Який шлях до цього NTUSER.DATфайлу?
ntuser.datфайл там є. Я намагаюся переглянути його з інструмента Linux, chntpwщоб перевірити, що це таке, але ключове дерево \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.