50121 Letture

Leggere il contenuto del registro di sistemi che non si avviano

NTUSER.DAT è un file nascosto che viene creato, da parte di Windows, in ciascuna delle cartelle relative agli account utente configurati sul sistema in uso. Il file contiene parte del registro di sistema di Windows ed, in particolare, tiene traccia delle preferenze e delle impostazioni relative ad ogni singolo account utente.
Il contenuto della chiave HKEY_CURRENT_USER (abbreviato HKCU) viene caricato dinamicamente a partire proprio dal contenuto del file NTUSER.DAT.
Per visualizzare il proprio NTUSER.DAT, è sufficiente cliccare sul menù Start, Esegui... quindi digitare %userprofile% e premere il pulsante OK.
Poiché il file è, per impostazione predefinita, nascosto, è necessario accedere al menù Strumenti, Opzioni cartella, cliccare sulla scheda Visualizzazione quindi attivare l'opzione Visualizza cartelle e file nascosti.

Se il sistema operativo non dovesse più malauguratamente avviarsi, è bene sapere come il file NTUSER.DAT contenga comunque informazioni che possono risultare di vitale importanza.
Se si dispone di un backup del contenuto del disco fisso o dell'hard disk dal quale il sistema operativo non si avvia più, è possibile comunque, con un semplice espediente, visionare i dati raccolti all'interno del file NTUSER.DAT.
L'approccio proposto consiste nel caricare temporaneamente, all'interno del registro di sistema in uso sul sistema regolarmente avviabile, il contenuto del file NTUSER.DAT. Le informazioni presenti nel vecchio NTUSER.DAT saranno temporaneamente salvate in una chiave di appoggio, svincolata da tutti gli altri dati che riguardano la configurazione del personal computer in uso.

Dopo aver individuato il vecchio file NTUSER.DAT, all'interno del quale si desidera investigare, è possibile avviare l'Editor del registro di sistema (Start, Esegui regedit), selezionare il ramo HKEY_USERS, quindi scegliere il comando Carica hive dal menù File ed indicare il vecchio NTUSER.DAT.


Una volta confermata la scelta cliccando sul pulsante Apri, l'Editor del registro richiederà di assegnare un nome alla chiave temporanea all'interno della quale verrà mostrato il contenuto del vecchio NTUSER.DAT: la chiave sarà aggiunta nel ramo HKEY_USERS.


A questo punto è possibile navigare all'interno delle chiavi relative alla precedente installazione di Windows.

Una volta terminata l'analisi del contenuto del file NTUSER.DAT, è necessario la sottochiave precedentemente aggiunta al ramo HKEY_USERS e cliccare su File, Scarica hive.


Se Mail PassView e Protected Storage PassView sono due software gratuiti che permettono di verificare quali password sono in uso sul personal computer per l'account utente correntemente selezionato, Passcape Password Outlook Recovery consente di recuperare le password degli account Outlook Express memorizzate all'interno di qualunque file HKEY_USERS. Quest'ultimo programma è però a pagamento (nella versione dimostrativa recupera solo i primi tre caratteri della password).


  1. Avatar
    frank123
    28/11/2008 10:44:11
    Ottimo! Non sapevo si potesse leggere il file ntuser.dat caricando l'hive.
  2. Avatar
    Michele Nasi
    28/11/2008 09:09:30
    Il "tip" in questione ha un altro obiettivo: quello di spiegare come sia possibile leggere file NTUSER.DAT provenienti da sistemi che non si avviano con lo scopo di recuperare informazioni importanti. L'articolo presuppone che sia in qualche modo possibile accedere al vecchio hard disk, ad esempio collegandolo ad un sistema funzionante come "slave". Per quanto riguarda ERUNT, segnalo questi nostri articoli: http://www.ilsoftware.it/ricerca.asp?q= ... =2&a=cerca Grazie comunque per l'osservazione. :)
  3. Avatar
    Lettore anonimo
    28/11/2008 08:47:42
    Penso che il titolo non sia corretto perchè se il sistema non si avvia più bisogna usare winXP live o altro SO live per ripristinare come descritto sostiuendolo (se si hanno backup) o ricostruendo con programmi appropriati. Il miglior programma per fare il backup dei file di registro ed eventualmente il suo defrag è ERUNT. Segnatelo perchè vi salva il PC.
Leggere il contenuto del registro di sistemi che non si avviano - IlSoftware.it