Quel est le chemin d'accès à la ruche de registre NT AUTHORITY \ SYSTEM?

8

Si j'ouvre le registre avec le compte SYSTEM dans Windows en utilisant l' outil PSExec de SysInternals :

psexec -i -s regedit

et je change une entrée, par exemple, ici:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Je suppose qu'un NTUSER.DATfichier correspondant sera modifié.

Quel est le chemin d' accès à ce NTUSER.DATfichier?

windows windows-registry Sopalajo de Arrierez
la source
Je pense que c'est c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
Quelle version de Windows?
Je dis Réintégrer Monica le
Eh bien, @ultrasawblade, en fait, il y a un ntuser.datfichier là-bas. J'essaie de le parcourir à partir de l'outil Linux chntpwpour vérifier de quoi il s'agit, mais l' arborescence clé \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@Twisty, je teste cette question avec Windows XP SP3 et Windows 7. Je pense que la plupart des versions de Windows se comportent de la même manière.
Sopalajo de Arrierez
Pas vrai. Je crois que Windows 7 stocke les ruches de registre LocalSystem et NetworkService dans «C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat» et C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat »respectivement. Ces dossiers n'existent pas sous XP.
Je dis Reinstate Monica

Réponses:

3

Contrairement à l'intuition courante, le ntuser.datfichier du dossier de profil utilisateur de LocalSystem ( \Windows\System32\config\systemprofile) n'est pas la source des HKEY_CURRENT_USERapplications exécutées en tant que SYSTEM. Pour autant que je sache, il n'est en fait utilisé pour rien et contient très peu d'informations.

En réalité, le HKCU pour les applications s'exécutant en tant que SYSTEM est .DEFAULTsous HKEY_USERS. (Je vais aborder une autre idée fausse commune: .DEFAULT n'est pas le modèle pour les nouveaux profils d'utilisateurs , ntuser.daten \Users\Defaultest.) .DEFAULTEst stocké sur le disque dans un fichier appelé \Windows\System32\config\DEFAULT. Consultez l'article MSDN sur les fichiers de sauvegarde du Registre .

Aussi intéressant: la liste des fichiers de sauvegarde pour les différentes hiérarchies du Registre, y compris .DEFAULT, peut être trouvée dans HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N
la source
Est-ce que cela devrait être valable pour n'importe quelle version de Windows?
Sopalajo de Arrierez
@SopalajodeArrierez Essentiellement oui, à partir de Windows NT et ultérieur, avec une substitution appropriée de \WinNTpour \Windowset \Documents and Settingspour \Userssous Windows XP. Lectures complémentaires sur TechNet
Ben N