Sop*_*rez 8 windows windows-registry
如果我使用SysInternals 中的 PSExec 工具在 Windows 中使用SYSTEM 帐户打开注册表:
psexec -i -s regedit
我更改了一个条目,例如,在这里:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
...我假设相应的NTUSER.DAT文件将被修改。
这个NTUSER.DAT文件的路径是什么?
与通常的直觉相反,ntuser.datLocalSystem 的用户配置文件文件夹 ( \Windows\System32\config\systemprofile) 中的文件不是作为HKEY_CURRENT_USERSYSTEM 运行的应用程序的源。据我所知,它实际上没有任何用途,并且包含的信息很少。
实际上,作为 SYSTEM 运行的应用程序的 HKCU.DEFAULT位于HKEY_USERS. (我将解决另一个常见的误解:.DEFAULT 不是新用户配置文件的模板,ntuser.dat而是\Users\Default。).DEFAULT存储在磁盘上名为 的文件中\Windows\System32\config\DEFAULT。请参阅有关注册表支持文件的 MSDN 文章。
同样有趣的是:各种注册表层次结构的支持文件列表(包括.DEFAULT)可以在 中找到HKLM\SYSTEM\CurrentControlSet\Control\hivelist。