Apa arti jalur '\ REGISTRY \ A \ ...' di Sysinternals Procmon log?

22

Saya menggunakan utilitas Sysinternals Procmon untuk memantau akses registri oleh beberapa program. Sebagian besar entri log memiliki properti Path mulai dari HKCU\…atau HKLM\…, yang sesuai dengan sarang registri HKEY_CURRENT_USERdan HKEY_LOCAL_MACHINEyang dapat dilihat menggunakan Regedit. Tetapi beberapa entri memiliki Path mulai dari \REGISTRY\A\…:

masukkan deskripsi gambar di sini

Bisakah Anda jelaskan bagian mana dari registri itu? Bisakah saya melihatnya menggunakan Regedit atau utilitas lain? Bisakah saya mengaksesnya secara terprogram?

Saya menjalankan Windows 8.1 Enterprise x64 .


UPDATE: Saya telah menghubungi pengembang Procmon dan mereka menunjuk saya ke sumber daya MSDN berikut yang mencakup pertanyaan ini:

Vladimir Reshetnikov
sumber
2
Sebuah pertanyaan terkait: stackoverflow.com/questions/4611291/…
Vladimir Reshetnikov
Apakah Anda mencoba mengklik kanan satu dan memilih Langsung Ke ?
Synetech
Ya, tapi itu melompat ke kunci yang tidak terkait.
Vladimir Reshetnikov
Apakah Anda yakin itu tidak terkait? Apakah Anda mencoba menggunakan lompat ke kunci yang sama untuk melihat apakah lompat ke kunci yang sama atau ke kunci yang sama sekali berbeda? Misalnya, jika registry\a\foobar\1melompat ke hkcu\software\blah\atetapi registry\a\foobar\2melompat ke hklm\software\microsoft\internet explorer, maka mereka tampaknya tidak berhubungan, tetapi jika yang kedua melompat ke hkcu\software\blah\b, maka mereka tampaknya terkait dalam beberapa cara ; ada semacam pemetaan.
Synetech
Hmm, saya pikir saya tahu bagaimana Anda bisa mengetahui persis apa itu, tetapi harus menunggu sampai besok pagi (waktu saya) ketika saya bisa mengujinya ...
Synetech

Jawaban:

7

Ini adalah sarang aplikasi , yang dapat dilihat di volatilitas tanpa nama! sarang aplikasi adalah kumpulan registri yang dimuat oleh aplikasi mode pengguna untuk menyimpan data status khusus aplikasi. Aplikasi memanggil fungsi RegLoadAppKey untuk memuat sarang aplikasi.

info lebih lanjut tentang

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

abs2run
sumber
1
Apakah mungkin untuk mengedit atau menghapus data ini seluruhnya?
Maxim
5

Apa arti jalur '\ REGISTRY \ A \ ...' di Sysinternals Procmon log? Bisakah Anda jelaskan bagian mana dari registri itu? Bisakah saya melihatnya menggunakan Regedit atau utilitas lain? Bisakah saya mengaksesnya secara terprogram?

Saya tidak dapat mereproduksi apa yang Anda lihat di sistem saya, tetapi saya dapat memberitahu Anda bagaimana Anda bisa mengetahui apa yang ada di sistem Anda. Anda dapat melihat daftar semua kumpulan registri yang saat ini dipasang di bawah nama apa pun (termasuk sarang di seluruh sistem, sarang pengguna untuk pengguna yang saat ini masuk, dan sarang apa pun yang dimuat secara manual atau dengan perangkat lunak) di kunci registri berikut. Ini akan menunjukkan path registri internal dan path ke file sarang (gambar 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Anda dapat menggunakan perintah ini untuk melihat layanan mana yang di-host oleh contoh spesifik svchost.exe. Saya telah menggunakan pid (1240) yang digunakan pada saat screenshot Anda; ganti dengan PID saat ini.

tasklist /svc /fi "pid eq 1240"

Gambar 1 : Screenshot dari registry-editor dengan kunci hivelist yang disorot, menunjukkan hive registry yang terpasang

Cuplikan layar dari registry-editor dengan kunci hivelist disorot

Synetech
sumber
2
\REGISTRY\Atidak tercantum dalam hivelistkunci. The jawaban dari @ abs2run adalah jawaban yang benar pada umumnya.
Eryk Sun
1
Meskipun informasi tentang hivelistitu menarik dan bermanfaat, meskipun ini tidak menjelaskan \REGISTRY\A.
binki
5

\REGISTRY\Aadalah kumpulan registri tersembunyi untuk digunakan oleh aplikasi Windows Store (alias aplikasi Metro-style).

Piotr Shatalin
sumber
2
Beberapa masalah: • Pertanyaan ini memiliki kumpulan registri yang dipermasalahkan tetapi ada di Windows 7 , sehingga sepertinya tidak terhubung dengan aplikasi Windows. • Bahkan jika Anda benar, apa dan bagaimana tepatnya aplikasi Windows menggunakannya; yaitu, apa yang disediakan oleh registry reguler? • Halaman Wikipedia yang Anda tautkan tidak menyebutkan registri sama sekali, jadi kami tidak memiliki cara untuk mengonfirmasi apa yang Anda katakan atau pelajari tentangnya.
Synetech
Di win10, jika Anda melakukan boot log procmon, dan memfilter pada "path berisi \ registry \ a" dan "operasi adalah regloadkey", secara detail Anda akan melihat "path sarang: system32 \ config \ BBI" dan banyak "path sarang : aktivasistore.dat "file yang diproses untuk aplikasi windows saat boot. Terkadang layanan dcomlaunch memakan waktu lama dengan sarang BBI tergantung pada jumlah pengguna.
js2010
4

Saya perlu menjawab pertanyaan saya sendiri di komentar.

Untuk mengedit sarang pribadi, harus dimuat sebelumnya.

Untuk Visual Studio dapat dibuat dengan cara ini:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Peningkatan isolasi dan ketahanan VS 2017, sekarang menggunakan sarang registri pribadi. VS internal menggunakan pengalihan dan sementara untuk ekstensi VS (yang dll.) Ini transparan, untuk proses eksternal (yang exes), ini menyebabkan mereka tidak berfungsi.

Untuk mengubah nilai dalam kumpulan registri pribadi dengan tangan, Anda dapat menggunakan regedit.exe untuk memuat sarang pribadi. Anda harus memilih simpul HKEY_USERS, dan klik menu File> Load Hive…. Anda memilih file privateregistry.bin, beri nama ke sarang (saya memasukkan "VS2017PrivateRegistry") dan sekarang Anda dapat melihat kunci 15.0_Config yang diisi seperti biasa (catatan: gunakan File> Bongkar Sarang saat selesai):

tangkapan layar

Untuk mengubah nilai dalam kumpulan registri pribadi secara terprogram Anda perlu membangun ekstensi untuk VS atau jika Anda ingin menggunakan exe eksternal Anda perlu menggunakan fungsi RegLoadAppKey atau menghindari menggunakan registri secara langsung dan menggunakan Manajer Pengaturan Eksternal. Lihat bagian "Ubah: Kurangi dampak registri" di Breaking Changes in Visual Studio 2017 extensibility.

Jangan lupa untuk membongkar sarang di regedit sebelum memulai aplikasi menggunakannya.

Pepatah
sumber