Если я открою реестр с учетной записью SYSTEM в Windows с помощью инструмента PSExec от SysInternals:
psexec -i -s regedit
и я изменяю запись, например, здесь:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Я предполагаю, что соответствующий файл NTUSER.DAT будет изменен.
Каков путь к этому файлу NTUSER.DAT ?
Вопреки общему мнению, файл ntuser.dat в папке профиля пользователя LocalSystem (\Windows\System32\config\systemprofile) не является источником HKEY_CURRENT_USER для приложений, работающих как SYSTEM. Насколько я могу судить, он фактически ни для чего не используется и содержит очень мало информации.
На самом деле HKCU для приложений, работающих как SYSTEM, есть .DEFAULT под HKEY_USERS . (Я рассмотрю еще одно распространенное заблуждение .DEFAULT не является шаблоном для новых профилей пользователей, ntuser.dat в \Users\Default is.) .DEFAULT хранится на диске в файле \Windows\System32\config\DEFAULT . См. Статью MSDN о файлах поддержки реестра .
Также интересно: список файлов поддержки для различных иерархий реестра, в том числе .DEFAULT , можно найти в HKLM\SYSTEM\CurrentControlSet\Control\hivelist .