只是问一下,如果有一种方法可以知道来自当前用户的加载密钥,那么目标机器上没有用户活动。似乎很难远程获取该信息,只有在至少一个用户登录时才能获取注册表信息。
答案 0 :(得分:0)
你没有问完全正确的问题。 Windows是多用户操作系统。因此,即使某些交互式用户被记录,也有其他用户登录计算机。通常是System(与LocalSystem,NT AUTHORITY\SYSTEM),LocalService(与NT AUTHORITY\LOCAL SERVICE相同)和NetworkService(与{相同) {1}})。它可能是在特殊用户帐户下运行的Windows服务,并且会记录相应的用户。
如果没有人登录,您会看到登录屏幕,而NT AUTHORITY\NETWORK SERVICE通常会显示登录屏幕。它在Winlogon.exe帐户下运行。您可以将System的子项视为当前在计算机上加载的用户的配置单元。 HKEY_USERS或HKEY_USERS\.DEFAULT(HKEY_USERS\S-1-5-18的符号链接)与HKEY_USERS\.DEFAULT帐户的HKEY_CURRENT_USER相对应。已加载的配置单的完整列表可在System下看到。