Onde posso encontrar dados armazenados por um Serviço do Windows em execução como “Conta do Sistema Local”?

Navegue suas respostas
83

Estou usando um serviço que armazena dados no disco. O serviço está sendo executado como "conta do sistema local".

Onde estão os dados armazenados para esse usuário do sistema?

Estou pensando em C:\Documents and Settings\Default User , mas não tenho certeza sobre isso.

Alguém pode confirmar isso?

    
por paulgreg 18.05.2009 / 11:13

7 respostas

99

Os dados que você está procurando não devem, por padrão, estar localizados em "C: \ Documents and Settings \ Usuário padrão". Essa é a localização do perfil de usuário padrão, que é o modelo para novos perfis de usuário. Sua única função é ser copiada para uma nova pasta para uso como um perfil de usuário quando um usuário fizer logon no computador pela primeira vez.

Se o serviço estiver seguindo as diretrizes da Microsoft, ele armazenará dados em a pasta de dados do aplicativo (% APPDATA%) ou a pasta de dados do aplicativo local (% LOCALAPPDATA% no Windows Vista e posterior). Ele não deve usar as pastas Meus Documentos ou Documentos, mas você pode querer verificar lá também.

Em uma instalação típica do Windows XP ou do Windows Server 2003, verifique os seguintes locais para dados de aplicativos para programas em execução como Sistema Local (NT AUTHORITY \ SYSTEM):

  • C: \ Windows \ system32 \ config \ systemprofile \ Dados de aplicativos \ Fornecedor \ Programa
  • C: \ Windows \ system32 \ config \ systemprofile \ Configurações locais \ Dados de aplicativo \ Fornecedor \ Programa
  • C: \ Windows \ system32 \ config \ systemprofile \ Meus documentos

Em uma instalação típica do Windows Vista e versões posteriores, verifique os seguintes locais para dados do aplicativo para programas em execução como Sistema Local (NT AUTHORITY \ SYSTEM):

  • Programa C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Roaming \ Fornecedor \
  • Programa C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Local \ Fornecedor
  • C: \ Windows \ system32 \ config \ systemprofile \ AppData \ LocalLow \ Fornecedor \ Programa
  • C: \ Windows \ system32 \ config \ systemprofile \ Documents

É claro, substitua o nome do fornecedor e o nome do programa apropriados por Fornecedor e Programa .

[Editar - para bricelam] Para processos de 32 bits em execução em janelas de 64 bits, seria em SysWOW64 .

  • C: \ Windows \ SysWOW64 \ config \ systemprofile \ AppData
por 18.05.2009 / 17:48
11

O destino está mudando no tempo. No Windows 10:

  • %systemroot%\ServiceProfiles

Por exemplo:

  • C:\Windows\ServiceProfiles\LocalService
  • C:\Windows\ServiceProfiles\NetworkService
por 15.01.2016 / 16:17
6

Vá para Sysinternals e faça o download do procmon. Você precisará saber o nome do exe com o qual o serviço é executado. Então você pode usar o filtro em procmon para listar apenas as atividades geradas por esse aplicativo.

Agora você deve ser capaz de percorrer a lista e determinar qual arquivo esta aplicação está usando (NOTA: Após vários minutos de registro, você pode usar o menu Arquivo para parar o monitoramento)

Toda a suíte Sysinternal pode ser baixada como um único arquivo zip e você pode encontrar outros utilitários no kit que podem ser úteis.

    
por 18.05.2009 / 12:57
3

Se o serviço usar APIs padrão para obter os diretórios padrão do usuário (dados de configuração e aplicativos), os arquivos serão salvos na pasta Default User , por exemplo: 

C:\Documents and Settings\Default User\Local Settings\

Então, eu confirmaria sua suposição. Eu verifiquei isso em um serviço que escrevi e que é executado como conta do sistema local.

    
por 18.05.2009 / 11:35
2

Eu usei um serviço em execução como a conta "Sistema local" e os dados do usuário são armazenados em: 

c:\Documents and Settings\LocalService

Esta é uma pasta oculta e demorou um pouco para encontrá-la. Espero que isso ajude.

    
por 18.05.2009 / 13:08
1

No XP há um "Perfil do Sistema" localizado em C: \ WINDOWS \ system32 \ config \ systemprofile

Eu achei que era onde a conta do Sistema Local estava localizada. As contas Serviço de Rede e Serviço Local possuem perfis ocultos na pasta Documents and Settings.

A pasta Usuário padrão geralmente é usada como a pasta base da qual as novas contas de usuário são criadas. Portanto, se um novo usuário fizer logon em um sistema pela primeira vez. Suas configurações seriam copiadas do perfil de usuário padrão inicialmente.

    
por 18.05.2009 / 15:51
1

De um processo real em execução como SYSTEM ( S-1-5-18 ).

  • GetUserName : SYSTEM
  • GetTempPath C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\
  • CSIDL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\system32\config\systemprofile
  • CSIDL_PERSONAL : (nenhum)
por 17.08.2017 / 20:09
O X.Y.Z.0 é um endereço IP válido? mysqldump para um tar.gz