我知道HKEY_CURRENT_USER实际上是一个指向HKEY_USERS中loged-in用户的特定SID的指针。 HKEY_USER仅持有列入列表一次的用户。你知道在哪里可以找到unloged-on用户注册表数据吗?
答案 0 :(得分:0)
HKEY_USERS hive包含所有用户的数据。 HKEY_USERS 下的每个子配置项都以用户的SID命名,并包含用户特定数据。当用户登录系统时,Windows会将对应登录用户的SID从HKEY_USERS加载到HKEY_CURRENT_USER。
因此,如果要访问其他(未登录)用户的数据,可以通过直接访问HKEY_USERS \ sid-of-user \ hive来实现。现在,问题是如何获得用户名的SID?为此,您需要枚举 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList 配置单元。此配置单元下的每个注册表项都是SID。值 ProfileImagePath 会提供与之关联的用户名。
示例:
http://support.microsoft.com/kb/154599
http://support.microsoft.com/kb/243330