Tips - Caricare l'HIVE di un altro utente

Se siamo interessati a caricare l'HIVE di un altro utente (Ntuser.dat)

1) eseguire regedt32.exe
2) posizionarsi su HKLM ed appare l'opzione File-->Carica Hive
3) Caricare NTUSER.DAT a cui va dato un nome
4) una volta fatte le modifiche va scaricato l'Hive da File --> Scarica hive

[fonte http://www.spippolazione.net/index.php/2013/03/15/caricare-lhive-di-registro-di-un-altro-utente/]


1) lancio regedt32.exe
2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”
3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”
4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio
5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”
6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.

720check