Đường dẫn cho trung tâm đăng ký NT AUTHORITY \ HỆ THỐNG là gì?

Nếu tôi mở sổ đăng ký bằng tài khoản HỆ THỐNG trong Windows bằng cách sử dụng công cụ PSExec từ SysIternals :

psexec -i -s regedit

và tôi thay đổi một mục, ví dụ, ở đây:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Tôi đoán rằng một NTUSER.DATtập tin tương ứng sẽ được sửa đổi.

Đường dẫn đến NTUSER.DATtập tin này là gì?

Trái với trực giác thông thường, ntuser.dattệp trong thư mục hồ sơ người dùng của LocalSystem ( \Windows\System32\config\systemprofile) không phải là nguồn của HKEY_CURRENT_USERcác ứng dụng chạy dưới dạng HỆ THỐNG. Theo như tôi có thể nói, nó thực sự không được sử dụng cho bất cứ điều gì và nó chứa rất ít thông tin.

Trên thực tế, HKCU cho các ứng dụng đang chạy như SYSTEM là .DEFAULTdưới HKEY_USERS. (Tôi sẽ giải quyết một quan niệm sai lầm phổ biến: .DEFAULT không phải là khuôn mẫu cho hồ sơ người dùng mới , ntuser.dattrong \Users\Defaultlà.) .DEFAULTĐược lưu trữ trên đĩa trong một tập tin gọi \Windows\System32\config\DEFAULT. Xem bài viết MSDN về các tập tin sao lưu Registry .

Cũng thú vị: danh sách các tệp sao lưu cho các cấu trúc phân cấp khác nhau, bao gồm .DEFAULT, có thể được tìm thấy trong HKLM\SYSTEM\CurrentControlSet\Control\hivelist.