Qual è il percorso per l'hive del registro NT AUTHORITY \ SYSTEM?

8

Se apro il registro con l'account SYSTEM in Windows utilizzando lo strumento PSExec da SysInternals :

psexec -i -s regedit

e cambio una voce, ad esempio qui:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... presumo che NTUSER.DATverrà modificato un file corrispondente .

Qual è il percorso di questo NTUSER.DATfile?

windows  windows-registry 
Sopalajo de Arrierez
fonte
Penso che sia c: \ windows \ system32 \ config \ systemprofile.
LawrenceC,
Quale versione di Windows?
Dico Reinstate Monica il
Bene, @ultrasawblade, in effetti c'è un ntuser.datfile lì. Sto cercando di sfogliarlo dallo strumento di Linux chntpwper verificare di cosa si tratta, ma l' albero chiave \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez,
1
@Twisty, sto testando questa faccenda con Windows XP SP3 e Windows 7. Penso che la maggior parte delle versioni di Windows si comporti allo stesso modo.
Sopalajo de Arrierez,
Non vero. Credo che Windows 7 memorizzi gli hive di registro LocalSystem e NetworkService rispettivamente in 'C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat' e C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat '. Queste cartelle non esistono su XP.
Dico Reinstate Monica il

Risposte:

3

Contrariamente all'intuizione comune, il ntuser.datfile nella cartella del profilo utente di LocalSystem ( \Windows\System32\config\systemprofile) non è l'origine di HKEY_CURRENT_USERapplicazioni in esecuzione come SISTEMA. Per quanto ne so, in realtà non viene utilizzato per nulla e contiene pochissime informazioni.

In realtà, l'HKCU per le applicazioni in esecuzione come SYSTEM è .DEFAULTsotto HKEY_USERS. (Affronterò un altro malinteso comune: .DEFAULT non è il modello per i nuovi profili utente , ntuser.datin \Users\Defaultis.) .DEFAULTÈ memorizzato sul disco in un file chiamato \Windows\System32\config\DEFAULT. Vedere l'articolo MSDN sui file di backup del registro .

Anche interessante: l'elenco dei file di backup per le varie gerarchie del Registro di sistema, incluso .DEFAULT, è disponibile in HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N
fonte
Si prevede che questo sia valido per qualsiasi versione di Windows?
Sopalajo de Arrierez,
@SopalajodeArrierez In sostanza sì, da Windows NT in poi, con la sostituzione appropriata di \WinNTfor \Windowse \Documents and Settingsfor \Userssu Windows XP. Ulteriori letture su TechNet
Ben N,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.