SysInternals 의 PSExec 도구를 사용하여 Windows 에서 SYSTEM 계정 으로 레지스트리를 여는 경우 :
psexec -i -s regedit
예를 들어 다음과 같이 항목을 변경합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
… 해당 NTUSER.DAT파일이 수정 될 것으로 예상합니다.
이 NTUSER.DAT파일 의 경로는 무엇입니까 ?
답변
일반적인 직관과 달리 ntuser.datLocalSystem의 사용자 프로필 폴더 ( \Windows\System32\config\systemprofile) 에 있는 파일은 SYSTEM으로 실행되는 응용 프로그램 의 소스 가 아닙니다HKEY_CURRENT_USER . 내가 알 수있는 한 실제로는 아무것도 사용되지 않으며 정보가 거의 없습니다.
실제로 SYSTEM으로 실행되는 응용 프로그램의 HKCU는 .DEFAULT아래에 HKEY_USERS있습니다. (I는 또 다른 일반적인 오해를 해결하는 것입니다 : .DEFAULT 새로운 사용자 프로파일의 템플릿이 아닌 , ntuser.dat에서 \Users\Default이다.) .DEFAULT라는 파일에 디스크에 저장됩니다 \Windows\System32\config\DEFAULT. 레지스트리 백업 파일에 대한 MSDN 기사를 참조하십시오 .
흥미로운 점 :을 포함하여 다양한 레지스트리 계층에 대한 백업 파일 목록은에서 .DEFAULT찾을 수 있습니다 HKLM\SYSTEM\CurrentControlSet\Control\hivelist.