Если я откроюреестр с учетной записью SYSTEMв Windows с помощьюИнструмент PSExec от SysInternals:
psexec -i -s regedit
и я изменяю запись, например, здесь:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Я предполагаю, что соответствующий NTUSER.DATфайл будет изменен.
Какой путь?к этому NTUSER.DATфайлу?
решение1
Вопреки общепринятому мнению, ntuser.datфайл в папке профиля пользователя LocalSystem ( \Windows\System32\config\systemprofile) — этонетисточник HKEY_CURRENT_USERдля приложений, работающих как SYSTEM. Насколько я могу судить, он фактически ни для чего не используется и содержит очень мало информации.
На самом деле HKCU для приложений, работающих как SYSTEM, находится .DEFAULTпод HKEY_USERS. (Я рассмотрю еще одно распространенное заблуждение:.DEFAULT не является шаблоном для новых профилей пользователей, ntuser.datв \Users\Defaultis.) .DEFAULTхранится на диске в файле с именем \Windows\System32\config\DEFAULT. Смотритестатья MSDN о файлах поддержки реестра.
Также интересно: список резервных файлов для различных иерархий реестра, включая .DEFAULT, можно найти в HKLM\SYSTEM\CurrentControlSet\Control\hivelist.