如果我打開使用SYSTEM帳戶註冊在 Windows 中透過使用SysInternals 的 PSExec 工具:
psexec -i -s regedit
我更改了一個條目,例如,在這裡:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
……我認為相應的NTUSER.DAT
文件將被修改。
路徑是什麼到這個NTUSER.DAT
文件?
答案1
與通常的直覺相反,ntuser.dat
LocalSystem 的使用者設定檔資料夾 ( \Windows\System32\config\systemprofile
) 中的檔案是不是HKEY_CURRENT_USER
作為 SYSTEM 運行的應用程式的來源。據我所知,它實際上沒有任何用途,並且包含的資訊很少。
實際上,作為 SYSTEM 運行的應用程式的 HKCU.DEFAULT
位於HKEY_USERS
. (我將解決另一個常見的誤解:.DEFAULT
不是新使用者設定檔的模板,ntuser.dat
in \Users\Default
is.).DEFAULT
儲存在磁碟上名為\Windows\System32\config\DEFAULT
.看有關註冊表支援文件的 MSDN 文章。
同樣有趣的是:各種註冊表層次結構的支援文件清單(包括.DEFAULT
)可以在 中找到HKLM\SYSTEM\CurrentControlSet\Control\hivelist
。