Si abro el registro con la cuenta SYSTEM en Windows usando la herramienta PSExec de SysInternals :
psexec -i -s regedit
y cambio una entrada, por ejemplo, aquí:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Supongo que NTUSER.DATse modificará el archivo correspondiente .
¿Cuál es la ruta a este NTUSER.DATarchivo?
windows
windows-registry
Sopalajo de Arrierez
fuente
fuente
ntuser.datarchivo allí. Estoy tratando de examinarlo desde la herramienta de Linuxchntpwpara verificar qué es, pero el árbol clave\Software\Microsoft` only contains a tree namedCTF. There is nothing about the rest of theHKEY_CURRENT_USER`.Respuestas:
Contrariamente a la intuición común, el
ntuser.datarchivo en la carpeta de perfil de usuario de LocalSystem (\Windows\System32\config\systemprofile) no es el origen de lasHKEY_CURRENT_USERaplicaciones que se ejecutan como SYSTEM. Por lo que puedo decir, en realidad no se usa para nada, y contiene muy poca información.En realidad, la HKCU para aplicaciones que se ejecutan como SYSTEM está
.DEFAULTbajoHKEY_USERS. (Me referiré a otro concepto erróneo común:.DEFAULTno es la plantilla para los nuevos perfiles de usuario ,ntuser.daten sí\Users\Default).DEFAULTse almacena en el disco en un archivo llamado\Windows\System32\config\DEFAULT. Consulte el artículo de MSDN sobre archivos de respaldo del registro .También es interesante: la lista de los archivos de respaldo para las diversas jerarquías del Registro, incluido
.DEFAULT, se puede encontrar enHKLM\SYSTEM\CurrentControlSet\Control\hivelist.fuente
\WinNTfor\Windowsy\Documents and Settingsfor\Usersen Windows XP. Lectura adicional en TechNet