Qual é o caminho para a seção de registro NT AUTHORITY \ SYSTEM?

8

Se eu abrir o registro com a conta SYSTEM no Windows, usando a ferramenta PSExec da SysInternals :

psexec -i -s regedit

e altero uma entrada, por exemplo, aqui:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Presumo que um NTUSER.DATarquivo correspondente seja modificado.

Qual é o caminho para este NTUSER.DATarquivo?

windows  windows-registry 
Sopalajo de Arrierez
fonte
Eu acho que é c: \ windows \ system32 \ config \ systemprofile.
28914 LawrenceC
Qual versão do Windows?
Twisty Imitador de
Bem, @ultrasawblade, na verdade há um ntuser.datarquivo lá. Estou tentando procurá-lo na ferramenta do linux chntpwpara verificar o que é, mas a árvore chave \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@ Twisty, estou testando esse assunto com o Windows XP SP3 e Windows 7. Acho que a maioria das versões do Windows se comporta da mesma maneira.
Sopalajo de Arrierez
Não é verdade. Acredito que o Windows 7 armazena as seções de registro LocalSystem e NetworkService em 'C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat' e C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat 'respectivamente. Essas pastas não existem no XP.
Twisty Imitador de

Respostas:

3

Ao contrário da intuição comum, o ntuser.datarquivo na pasta de perfil de usuário do LocalSystem ( \Windows\System32\config\systemprofile) não é a fonte dos HKEY_CURRENT_USERaplicativos em execução como SYSTEM. Até onde eu sei, não é realmente usado para nada e contém muito pouca informação.

Na realidade, o HKCU para aplicativos em execução como SYSTEM está .DEFAULTabaixo HKEY_USERS. (Abordarei outro equívoco comum: .DEFAULT não é o modelo para novos perfis de usuário , ntuser.datem \Users\Defaulté.) .DEFAULTÉ armazenado no disco em um arquivo chamado \Windows\System32\config\DEFAULT. Consulte o artigo do MSDN sobre arquivos de backup do Registro .

Também interessante: a lista dos arquivos de backup para as várias hierarquias do Registro, incluindo .DEFAULT, pode ser encontrada em HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N
fonte
Espera-se que isso seja válido para qualquer versão do Windows?
Sopalajo de Arrierez 17/09/2015
@SopalajodeArrierez Essencialmente sim, a partir do Windows NT e sobre, com a substituição adequada de \WinNTpara \Windowse \Documents and Settingspara \Userso Windows XP. Outras leituras na TechNet
Ben N
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.