Was ist der Pfad für die Registrierungsstruktur NT AUTHORITY \ SYSTEM?

8

Wenn ich die Registrierung mit dem SYSTEM-Konto in Windows mithilfe des PSExec-Tools von SysInternals öffne :

psexec -i -s regedit

und ich ändere einen Eintrag zum Beispiel hier:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Ich gehe davon aus, dass eine entsprechende NTUSER.DATDatei geändert wird.

Was ist der Pfad zu dieser NTUSER.DATDatei?

windows  windows-registry 
Sopalajo de Arrierez
quelle
Ich denke, es ist c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Welche Version von Windows?
Ich sage Reinstate Monica
Nun, @ultrasawblade, tatsächlich gibt es dort eine ntuser.datDatei. Ich versuche, es vom Linux-Tool aus zu durchsuchen chntpw, um zu überprüfen, was es ist, aber den Schlüsselbaum \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@ Twisty, ich teste diese Angelegenheit mit Windows XP SP3 und Windows 7. Ich denke, die meisten Windows-Versionen verhalten sich genauso.
Sopalajo de Arrierez
Nicht wahr. Ich glaube, Windows 7 speichert die Registrierungsstrukturen LocalSystem und NetworkService unter "C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat" bzw. C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat ". Diese Ordner sind unter XP nicht vorhanden.
Ich sage Reinstate Monica

Antworten:

3

Entgegen der üblichen Intuition ist die ntuser.datDatei im Benutzerprofilordner ( \Windows\System32\config\systemprofile) von LocalSystem nicht die Quelle HKEY_CURRENT_USERfür Anwendungen, die als SYSTEM ausgeführt werden. Soweit ich das beurteilen kann, wird es eigentlich für nichts verwendet und enthält nur sehr wenige Informationen.

In Wirklichkeit ist die HKCU für Anwendungen, die als SYSTEM ausgeführt werden, .DEFAULTunter HKEY_USERS. (Ich werde ein weiteres häufiges Missverständnis ansprechen: Ist .DEFAULT nicht die Vorlage für neue Benutzerprofile , ntuser.datin \Users\Defaultist.) .DEFAULTWird auf der Festplatte in einer Datei namens gespeichert \Windows\System32\config\DEFAULT. Weitere Informationen finden Sie im MSDN-Artikel zu Registrierungssicherungsdateien .

Ebenfalls interessant: Die Liste der Sicherungsdateien für die verschiedenen Registrierungshierarchien, einschließlich .DEFAULT, finden Sie in HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N.
quelle
Wird dies voraussichtlich für jede Windows-Version gültig sein?
Sopalajo de Arrierez
@SopalajodeArrierez Im Wesentlichen ja, ab Windows NT und mit entsprechender Ersetzung von \WinNTfür \Windowsund \Documents and Settingsfür \Usersunter Windows XP. Weiterführende Literatur bei TechNet
Ben N
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.