開くとSYSTEMアカウントのレジストリWindowsではSysInternals の PSExec ツール:
psexec -i -s regedit
たとえば、次のエントリを変更します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
...対応するNTUSER.DAT
ファイルが変更されると推測します。
道とは何かこのNTUSER.DAT
ファイルに?
答え1
一般的な直感に反して、ntuser.dat
LocalSystemのユーザープロファイルフォルダ(\Windows\System32\config\systemprofile
)内のファイルはないSYSTEM として実行されているアプリケーションのソースHKEY_CURRENT_USER
。私が知る限り、実際には何にも使用されておらず、含まれる情報もほとんどありません。
実際には、SYSTEM として実行されているアプリケーションの HKCU は.DEFAULT
の下にありますHKEY_USERS
。(よくある誤解をもう 1 つ取り上げます。.DEFAULT
新しいユーザープロファイルのテンプレートではありません( )ntuser.dat
は、というファイルに保存されます。\Users\Default
.DEFAULT
\Windows\System32\config\DEFAULT
レジストリバックアップファイルに関する MSDN の記事。
また、興味深いことに、 を含むさまざまなレジストリ階層のバッキング ファイルのリストは.DEFAULT
にありますHKLM\SYSTEM\CurrentControlSet\Control\hivelist
。