Apa jalur untuk kumpulan registri NT AUTHORITY \ SYSTEM?

8

Jika saya membuka registri dengan akun SYSTEM di Windows dengan menggunakan alat PSExec dari SysInternals :

psexec -i -s regedit

dan saya mengubah entri, misalnya, di sini:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Saya menganggap bahwa NTUSER.DATfile yang sesuai akan dimodifikasi.

Apa jalur ke NTUSER.DATfile ini ?

windows  windows-registry 
Sopalajo de Arrierez
sumber
Saya pikir itu c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Versi Windows apa?
Saya katakan Reinstate Monica
Nah, @ultrasawblade, sebenarnya ada ntuser.datfile di sana. Saya mencoba menjelajahinya dari alat linux chntpwuntuk memeriksa apa itu, tetapi kunci \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@ Twisty, saya menguji masalah ini dengan Windows XP SP3 dan Windows 7. Saya pikir sebagian besar versi Windows berperilaku dengan cara yang sama.
Sopalajo de Arrierez
Tidak benar. Saya percaya Windows 7 menyimpan registri LocalSystem dan NetworkService di 'C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat' dan C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat '. Folder ini tidak ada di XP.
Saya katakan Reinstate Monica

Jawaban:

3

Berlawanan dengan intuisi umum, ntuser.datfile dalam folder profil pengguna LocalSystem ( \Windows\System32\config\systemprofile) bukan sumber HKEY_CURRENT_USERuntuk aplikasi yang berjalan sebagai SISTEM. Sejauh yang saya tahu, itu sebenarnya tidak digunakan untuk apa pun, dan itu mengandung sangat sedikit informasi.

Pada kenyataannya, HKCU untuk aplikasi yang berjalan saat SYSTEM berada di .DEFAULTbawah HKEY_USERS. (Aku akan mengatasi kesalahpahaman umum lain: .DEFAULT bukan template untuk profil pengguna baru , ntuser.datdi \Users\Defaultadalah.) .DEFAULTDisimpan pada disk dalam sebuah file yang bernama \Windows\System32\config\DEFAULT. Lihat artikel MSDN pada file yang mendukung Registri .

Juga menarik: daftar file dukungan untuk berbagai hierarki Registry, termasuk .DEFAULT, dapat ditemukan di HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N
sumber
Apakah ini diharapkan valid untuk semua versi Windows?
Sopalajo de Arrierez
@SopalajodeArrierez Pada dasarnya ya, dari Windows NT dan seterusnya, dengan substitusi yang sesuai \WinNTuntuk \Windowsdan \Documents and Settingsuntuk \Userspada Windows XP. Bacaan lebih lanjut di TechNet
Ben N
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.