Що означає шлях "\ REGISTRY \ A \ ..." у журналі журналу Procmon Sysinternals?

Я використовую утиліту Sysinternals Procmon для контролю доступу до реєстру деякими програмами. Більшість записів журналу мають властивість Path починаючи з HKCU\…або HKLM\…, що відповідає вуликам реєстру, HKEY_CURRENT_USERі HKEY_LOCAL_MACHINEце можна побачити за допомогою Regedit. Але деякі записи мають Шлях, починаючи з \REGISTRY\A\…:

Не могли б ви пояснити, яка це частина реєстру? Чи можу я бачити це за допомогою Regedit або іншої утиліти? Чи можу я отримати доступ до нього програмно?

У мене працює Windows 8.1 Enterprise x64 .

ОНОВЛЕННЯ: Я зв’язався з розробниками Procmon, і вони вказали мені на наступні ресурси MSDN, що висвітлюють це питання:

• Фільтрування операцій реєстру на вуликах додатків
• Функція RegLoadAppKey

Це вуликовий додаток , який можна побачити у волатилті без назви! вулики для копіювання - це вулики реєстру, завантажені програмами в режимі користувача для зберігання даних про стан, що стосуються додатків. Додаток викликає функцію RegLoadAppKey для завантаження вулика програми.

більше інформації про

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

Що означає шлях "\ REGISTRY \ A \ ..." у журналі журналу Procmon Sysinternals? Не могли б ви пояснити, яка це частина реєстру? Чи можу я бачити це за допомогою Regedit або іншої утиліти? Чи можу я отримати доступ до нього програмно?

Я не можу відтворити те, що ви бачите в моїй системі, але я можу вам сказати, як ви можете дізнатися, що це на вашій системі. Перелік усіх вуликів реєстру, які наразі встановлені під будь-яким іменем (включаючи вулики на всій системі, вулики користувачів для користувачів, які зараз увійшли в систему, та будь-які вулики, завантажені вручну або за допомогою програмного забезпечення), можна отримати за наступним ключем реєстру. Він покаже як внутрішній шлях реєстру, так і шлях до файлу вулика (малюнок 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Ви можете використовувати цю команду, щоб побачити, які сервіси розміщуються в конкретному екземплярі svchost.exe. Я використав pid (1240), який він використовував під час вашого екрана; замініть його поточним PID.

tasklist /svc /fi "pid eq 1240"

Рисунок 1 : Знімок екрана редактора реєстру з виділеним ключем списку, на якому показані змонтовані вулики реєстру

\REGISTRY\Aце прихований вулик реєстру для використання додатками магазину Windows (він же, як і програми у стилі метро).

Мені потрібно відповісти на власне запитання в коментарях.

Для редагування приватного вулика його слід завантажувати раніше.

Для Visual Studio це можна зробити так:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Для збільшення ізоляції та стійкості VS 2017 він використовує тепер вулик приватного реєстру. Внутрішньо VS використовує перенаправлення, і тоді як для розширень VS (які є dlls) це прозоро, для зовнішніх процесів (тобто exes), це змушує їх не працювати.

Щоб змінити значення в вулику приватного реєстру вручну, ви можете використовувати regedit.exe для завантаження приватного вулика. Вам потрібно вибрати вузол HKEY_USERS і натиснути меню Файл> Завантажити вулик…. Ви вибираєте файл privateregistry.bin, даєте ім'я вулику (я ввів "VS2017PrivateRegistry") і тепер ви можете побачити ключ 15.0_Config, заповнений як завжди (зверніть увагу: використовуйте File> Unload Hive, коли закінчите):

Щоб змінити значення в вулику приватного реєстру програмно, вам потрібно створити розширення для VS або, якщо ви хочете використовувати зовнішню програму exe, вам потрібно використовувати функцію RegLoadAppKey або уникати використання реєстру безпосередньо та використовувати зовнішній диспетчер налаштувань. Див. Розділ «Зміни: зменшення впливу реєстру» у розділі «Проблеми змін у розширюваності Visual Studio 2017».

Не забудьте вивантажити вулик у regedit перед тим, як розпочати його використання.