Jika saya membuka registri dengan akun SYSTEM di Windows dengan menggunakan alat PSExec dari SysInternals :
psexec -i -s regedit
dan saya mengubah entri, misalnya, di sini:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Saya menganggap bahwa NTUSER.DATfile yang sesuai akan dimodifikasi.
Apa jalur ke NTUSER.DATfile ini ?
windows
windows-registry
Sopalajo de Arrierez
sumber
sumber
ntuser.datfile di sana. Saya mencoba menjelajahinya dari alat linuxchntpwuntuk memeriksa apa itu, tetapi kunci\Software\Microsoft` only contains a tree namedCTF. There is nothing about the rest of theHKEY_CURRENT_USER`.Jawaban:
Berlawanan dengan intuisi umum,
ntuser.datfile dalam folder profil pengguna LocalSystem (\Windows\System32\config\systemprofile) bukan sumberHKEY_CURRENT_USERuntuk aplikasi yang berjalan sebagai SISTEM. Sejauh yang saya tahu, itu sebenarnya tidak digunakan untuk apa pun, dan itu mengandung sangat sedikit informasi.Pada kenyataannya, HKCU untuk aplikasi yang berjalan saat SYSTEM berada di
.DEFAULTbawahHKEY_USERS. (Aku akan mengatasi kesalahpahaman umum lain:.DEFAULTbukan template untuk profil pengguna baru ,ntuser.datdi\Users\Defaultadalah.).DEFAULTDisimpan pada disk dalam sebuah file yang bernama\Windows\System32\config\DEFAULT. Lihat artikel MSDN pada file yang mendukung Registri .Juga menarik: daftar file dukungan untuk berbagai hierarki Registry, termasuk
.DEFAULT, dapat ditemukan diHKLM\SYSTEM\CurrentControlSet\Control\hivelist.sumber
\WinNTuntuk\Windowsdan\Documents and Settingsuntuk\Userspada Windows XP. Bacaan lebih lanjut di TechNet