Що означає шлях "\ REGISTRY \ A \ ..." у журналі журналу Procmon Sysinternals?


22

Я використовую утиліту Sysinternals Procmon для контролю доступу до реєстру деякими програмами. Більшість записів журналу мають властивість Path починаючи з HKCU\…або HKLM\…, що відповідає вуликам реєстру, HKEY_CURRENT_USERі HKEY_LOCAL_MACHINEце можна побачити за допомогою Regedit. Але деякі записи мають Шлях, починаючи з \REGISTRY\A\…:

введіть тут опис зображення

Не могли б ви пояснити, яка це частина реєстру? Чи можу я бачити це за допомогою Regedit або іншої утиліти? Чи можу я отримати доступ до нього програмно?

У мене працює Windows 8.1 Enterprise x64 .


ОНОВЛЕННЯ: Я зв’язався з розробниками Procmon, і вони вказали мені на наступні ресурси MSDN, що висвітлюють це питання:


2
Питання, пов’язані з цим: stackoverflow.com/questions/4611291/…
Володимир Решетніков

Ви спробували клацнути правою кнопкою миші та вибрали Перейти до ?
Synetech

Так, але він переходить до непов'язаного ключа.
Володимир Решетніков

Ви впевнені, що це не пов'язано? Ви спробували скористатися перемиканням на подібний ключ, щоб побачити, чи переходить він на подібний ключ або на зовсім інший ключ? Наприклад, якщо registry\a\foobar\1стрибки до, hkcu\software\blah\aале registry\a\foobar\2стрибають hklm\software\microsoft\internet explorer, то вони здаються не пов'язаними, але якщо другий стрибає hkcu\software\blah\b, то вони, здається, пов'язані певним чином ; є якесь картування.
Synetech

Хм, я думаю, я знаю, як ви можете точно дізнатися, що це таке, але доведеться почекати до завтра вранці (мій час), коли я зможу це перевірити…
Synetech

Відповіді:


7

Це вуликовий додаток , який можна побачити у волатилті без назви! вулики для копіювання - це вулики реєстру, завантажені програмами в режимі користувача для зберігання даних про стан, що стосуються додатків. Додаток викликає функцію RegLoadAppKey для завантаження вулика програми.

більше інформації про

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx


1
Чи можна редагувати або видаляти ці дані повністю?
Максим

5

Що означає шлях "\ REGISTRY \ A \ ..." у журналі журналу Procmon Sysinternals? Не могли б ви пояснити, яка це частина реєстру? Чи можу я бачити це за допомогою Regedit або іншої утиліти? Чи можу я отримати доступ до нього програмно?

Я не можу відтворити те, що ви бачите в моїй системі, але я можу вам сказати, як ви можете дізнатися, що це на вашій системі. Перелік усіх вуликів реєстру, які наразі встановлені під будь-яким іменем (включаючи вулики на всій системі, вулики користувачів для користувачів, які зараз увійшли в систему, та будь-які вулики, завантажені вручну або за допомогою програмного забезпечення), можна отримати за наступним ключем реєстру. Він покаже як внутрішній шлях реєстру, так і шлях до файлу вулика (малюнок 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Ви можете використовувати цю команду, щоб побачити, які сервіси розміщуються в конкретному екземплярі svchost.exe. Я використав pid (1240), який він використовував під час вашого екрана; замініть його поточним PID.

tasklist /svc /fi "pid eq 1240"

Рисунок 1 : Знімок екрана редактора реєстру з виділеним ключем списку, на якому показані змонтовані вулики реєстру

Знімок екрана редактора реєстру з виділеною клавішею списку


2
\REGISTRY\Aне вказано в hivelistключі. Відповідь від @ abs2run правильну відповідь в цілому.
Ерик Вс

1
Хоча інформація про hivelistцікаву та корисну, хоча це не пояснює \REGISTRY\A.
бінкі

5

\REGISTRY\Aце прихований вулик реєстру для використання додатками магазину Windows (він же, як і програми у стилі метро).


2
Кілька питань: • У цьому питанні йдеться про вулик реєстру, але він знаходиться в Windows 7 , тому він не схожий на те, що він підключений до програм Windows. • Навіть якщо ви праві, що і як саме використовують програми Windows; тобто що передбачає, що звичайний реєстр не робить? • Сторінка Вікіпедії, до якої ви посилаєтесь, взагалі не згадує реєстр, тому у нас немає способу підтвердити те, що ви сказали, чи дізнатися про нього.
Synetech

У програмі win10, якщо ви записуєте журнал завантаження і фільтруєте на "шлях містить \ реєстр \ а" та "операція - це regloadkey", детально ви побачите "шлях вулика: system32 \ config \ BBI" та багато "шлях вулика" : activationstore.dat "файли, оброблені для програм Windows під час завантаження. Іноді послуга dcomlaunch займає багато часу з вуликом BBI залежно від кількості користувачів.
js2010

4

Мені потрібно відповісти на власне запитання в коментарях.

Для редагування приватного вулика його слід завантажувати раніше.

Для Visual Studio це можна зробити так:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Для збільшення ізоляції та стійкості VS 2017 він використовує тепер вулик приватного реєстру. Внутрішньо VS використовує перенаправлення, і тоді як для розширень VS (які є dlls) це прозоро, для зовнішніх процесів (тобто exes), це змушує їх не працювати.

Щоб змінити значення в вулику приватного реєстру вручну, ви можете використовувати regedit.exe для завантаження приватного вулика. Вам потрібно вибрати вузол HKEY_USERS і натиснути меню Файл> Завантажити вулик…. Ви вибираєте файл privateregistry.bin, даєте ім'я вулику (я ввів "VS2017PrivateRegistry") і тепер ви можете побачити ключ 15.0_Config, заповнений як завжди (зверніть увагу: використовуйте File> Unload Hive, коли закінчите):

скріншот

Щоб змінити значення в вулику приватного реєстру програмно, вам потрібно створити розширення для VS або, якщо ви хочете використовувати зовнішню програму exe, вам потрібно використовувати функцію RegLoadAppKey або уникати використання реєстру безпосередньо та використовувати зовнішній диспетчер налаштувань. Див. Розділ «Зміни: зменшення впливу реєстру» у розділі «Проблеми змін у розширюваності Visual Studio 2017».

Не забудьте вивантажити вулик у regedit перед тим, як розпочати його використання.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.