Answers:
默认情况下,您查找的数据不应位于“ C:\ Documents and Settings \ Default User”中。这是默认用户配置文件的位置,默认用户配置文件是新用户配置文件的模板。当用户首次登录计算机时,它的唯一功能是将其复制到新文件夹中以用作用户配置文件。
如果该服务遵循Microsoft的准则,它将在应用程序数据文件夹(%APPDATA%)或本地应用程序数据文件夹(Windows Vista及更高版本上为%LOCALAPPDATA%)中存储数据。它不应使用“我的文档”或“文档”文件夹,但您可能也要在此进行检查。
在Windows XP或Windows Server 2003的典型安装中,请检查以下位置的应用程序数据(作为本地系统(NT AUTHORITY \ SYSTEM)运行)的应用程序数据:
在Windows Vista和更高版本的典型安装上,请检查以下位置的应用程序数据(作为本地系统(NT AUTHORITY \ SYSTEM)运行)的应用程序数据:
当然,将适当的供应商名称和程序名称替换为Vendor and Program。
[对于bricelam编辑]对于在64位窗口上运行的32位进程,它将在SysWOW64中。
转到Sysinternals并下载procmon。您将需要知道服务运行的exe的名称。然后,您可以在procmon中使用过滤器以仅列出该应用程序生成的那些活动。
现在,您应该可以浏览列表并确定该应用程序正在使用哪个文件(注意:记录几分钟后,您可以使用文件菜单停止监视)
整个Sysinternal套件可以作为一个zip文件下载,您可能会在套件中找到其他有用的实用程序。
来自以SYSTEM(S-1-5-18)运行的真实进程。
SYSTEMS-1-5-18CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=comSTACKOVERFLOW\HYDROGEN$HYDROGEN${b413b030-8e9a-49d2-9157-20afd58792dd}stackoverflow.com/Computers/HYDROGENUSER-PC02$@stackoverflow.comstackoverflow.com/ComputersHYDROGENC:\WINDOWS\TEMP\C:\WINDOWS\system32\config\systemprofile\AppData\RoamingC:\WINDOWS\system32\config\systemprofile\AppData\LocalC:\ProgramDataC:\WINDOWS\system32\config\systemprofileLOCAL SERVICES-1-5-1NT AUTHORITY\LOCAL SERVICEC:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\C:\WINDOWS\ServiceProfiles\LocalService\AppData\RoamingC:\WINDOWS\ServiceProfiles\LocalService\AppData\LocalC:\ProgramDataC:\WINDOWS\ServiceProfiles\LocalServiceC:\WINDOWS\ServiceProfiles\LocalService\DocumentsCN=HYDROGEN,CN=Computers,DC=avatopia,DC=comAVATOPIA\HYDROGEN$HYDROGEN${b413b030-8e9a-49d2-9157-20afd58792dd}stackoverflow.com/Computers/HYDROGENUSER-PC02$@stackoverflow.comstackoverflow.com/ComputersHYDROGENC:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\C:\WINDOWS\ServiceProfiles\NetworkService\AppData\RoamingC:\WINDOWS\ServiceProfiles\NetworkService\AppData\LocalC:\ProgramDataC:\WINDOWS\ServiceProfiles\NetworkServiceC:\WINDOWS\ServiceProfiles\NetworkService\Documents