如果我打開使用SYSTEM帳戶註冊在 Windows 中透過使用SysInternals 的 PSExec 工具:
psexec -i -s regedit
我更改了一個條目,例如,在這裡:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
……我認為相應的NTUSER.DAT文件將被修改。
路徑是什麼到這個NTUSER.DAT文件?
答案1
與通常的直覺相反,ntuser.datLocalSystem 的使用者設定檔資料夾 ( \Windows\System32\config\systemprofile) 中的檔案是不是HKEY_CURRENT_USER作為 SYSTEM 運行的應用程式的來源。據我所知,它實際上沒有任何用途,並且包含的資訊很少。
實際上,作為 SYSTEM 運行的應用程式的 HKCU.DEFAULT位於HKEY_USERS. (我將解決另一個常見的誤解:.DEFAULT 不是新使用者設定檔的模板,ntuser.datin \Users\Defaultis.).DEFAULT儲存在磁碟上名為\Windows\System32\config\DEFAULT.看有關註冊表支援文件的 MSDN 文章。
同樣有趣的是:各種註冊表層次結構的支援文件清單(包括.DEFAULT)可以在 中找到HKLM\SYSTEM\CurrentControlSet\Control\hivelist。