Wenn ich die Registrierung mit dem SYSTEM-Konto in Windows mithilfe des PSExec-Tools von SysInternals öffne :
psexec -i -s regedit
und ich ändere einen Eintrag zum Beispiel hier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Ich gehe davon aus, dass eine entsprechende NTUSER.DATDatei geändert wird.
Was ist der Pfad zu dieser NTUSER.DATDatei?
windows
windows-registry
Sopalajo de Arrierez
quelle
quelle
ntuser.datDatei. Ich versuche, es vom Linux-Tool aus zu durchsuchenchntpw, um zu überprüfen, was es ist, aber den Schlüsselbaum\Software\Microsoft` only contains a tree namedCTF. There is nothing about the rest of theHKEY_CURRENT_USER`.Antworten:
Entgegen der üblichen Intuition ist die
ntuser.datDatei im Benutzerprofilordner (\Windows\System32\config\systemprofile) von LocalSystem nicht die QuelleHKEY_CURRENT_USERfür Anwendungen, die als SYSTEM ausgeführt werden. Soweit ich das beurteilen kann, wird es eigentlich für nichts verwendet und enthält nur sehr wenige Informationen.In Wirklichkeit ist die HKCU für Anwendungen, die als SYSTEM ausgeführt werden,
.DEFAULTunterHKEY_USERS. (Ich werde ein weiteres häufiges Missverständnis ansprechen: Ist.DEFAULTnicht die Vorlage für neue Benutzerprofile ,ntuser.datin\Users\Defaultist.).DEFAULTWird auf der Festplatte in einer Datei namens gespeichert\Windows\System32\config\DEFAULT. Weitere Informationen finden Sie im MSDN-Artikel zu Registrierungssicherungsdateien .Ebenfalls interessant: Die Liste der Sicherungsdateien für die verschiedenen Registrierungshierarchien, einschließlich
.DEFAULT, finden Sie inHKLM\SYSTEM\CurrentControlSet\Control\hivelist.quelle
\WinNTfür\Windowsund\Documents and Settingsfür\Usersunter Windows XP. Weiterführende Literatur bei TechNet