Leggere il contenuto del registro di sistemi che non si avviano

NTUSER.DAT è un file nascosto che viene creato, da parte di Windows, in ciascuna delle cartelle relative agli account utente configurati sul sistema in uso. Il file contiene parte del registro di sistema di Windows ed, in particolare, tiene traccia delle preferenze e delle impostazioni relative ad ogni singolo account utente.
Il contenuto della chiave HKEY_CURRENT_USER (abbreviato HKCU) viene caricato dinamicamente a partire proprio dal contenuto del file NTUSER.DAT.
Per visualizzare il proprio NTUSER.DAT, è sufficiente cliccare sul menù Start, Esegui... quindi digitare %userprofile% e premere il pulsante OK.
Poiché il file è, per impostazione predefinita, nascosto, è necessario accedere al menù Strumenti, Opzioni cartella, cliccare sulla scheda Visualizzazione quindi attivare l'opzione Visualizza cartelle e file nascosti.

Se il sistema operativo non dovesse più malauguratamente avviarsi, è bene sapere come il file NTUSER.DAT contenga comunque informazioni che possono risultare di vitale importanza.
Se si dispone di un backup del contenuto del disco fisso o dell'hard disk dal quale il sistema operativo non si avvia più, è possibile comunque, con un semplice espediente, visionare i dati raccolti all'interno del file NTUSER.DAT.
L'approccio proposto consiste nel caricare temporaneamente, all'interno del registro di sistema in uso sul sistema regolarmente avviabile, il contenuto del file NTUSER.DAT. Le informazioni presenti nel vecchio NTUSER.DAT saranno temporaneamente salvate in una chiave di appoggio, svincolata da tutti gli altri dati che riguardano la configurazione del personal computer in uso.

Dopo aver individuato il vecchio file NTUSER.DAT, all'interno del quale si desidera investigare, è possibile avviare l'Editor del registro di sistema (Start, Esegui regedit), selezionare il ramo HKEY_USERS, quindi scegliere il comando Carica hive dal menù File ed indicare il vecchio NTUSER.DAT.

Una volta confermata la scelta cliccando sul pulsante Apri, l'Editor del registro richiederà di assegnare un nome alla chiave temporanea all'interno della quale verrà mostrato il contenuto del vecchio NTUSER.DAT: la chiave sarà aggiunta nel ramo HKEY_USERS.

A questo punto è possibile navigare all'interno delle chiavi relative alla precedente installazione di Windows.

Una volta terminata l'analisi del contenuto del file NTUSER.DAT, è necessario la sottochiave precedentemente aggiunta al ramo HKEY_USERS e cliccare su File, Scarica hive.

fonte: http://www.ilsoftware.it/articoli.asp?id=4839