Se eu abrir o registro com a conta SYSTEM no Windows, usando a ferramenta PSExec da SysInternals :
psexec -i -s regedit
e altero uma entrada, por exemplo, aqui:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Presumo que um NTUSER.DATarquivo correspondente seja modificado.
Qual é o caminho para este NTUSER.DATarquivo?
windows
windows-registry
Sopalajo de Arrierez
fonte
fonte
ntuser.datarquivo lá. Estou tentando procurá-lo na ferramenta do linuxchntpwpara verificar o que é, mas a árvore chave\Software\Microsoft` only contains a tree namedCTF. There is nothing about the rest of theHKEY_CURRENT_USER`.Respostas:
Ao contrário da intuição comum, o
ntuser.datarquivo na pasta de perfil de usuário do LocalSystem (\Windows\System32\config\systemprofile) não é a fonte dosHKEY_CURRENT_USERaplicativos em execução como SYSTEM. Até onde eu sei, não é realmente usado para nada e contém muito pouca informação.Na realidade, o HKCU para aplicativos em execução como SYSTEM está
.DEFAULTabaixoHKEY_USERS. (Abordarei outro equívoco comum:.DEFAULTnão é o modelo para novos perfis de usuário ,ntuser.datem\Users\Defaulté.).DEFAULTÉ armazenado no disco em um arquivo chamado\Windows\System32\config\DEFAULT. Consulte o artigo do MSDN sobre arquivos de backup do Registro .Também interessante: a lista dos arquivos de backup para as várias hierarquias do Registro, incluindo
.DEFAULT, pode ser encontrada emHKLM\SYSTEM\CurrentControlSet\Control\hivelist.fonte
\WinNTpara\Windowse\Documents and Settingspara\Userso Windows XP. Outras leituras na TechNet