Apa arti jalur '\ REGISTRY \ A \ ...' di Sysinternals Procmon log?

Saya menggunakan utilitas Sysinternals Procmon untuk memantau akses registri oleh beberapa program. Sebagian besar entri log memiliki properti Path mulai dari HKCU\…atau HKLM\…, yang sesuai dengan sarang registri HKEY_CURRENT_USERdan HKEY_LOCAL_MACHINEyang dapat dilihat menggunakan Regedit. Tetapi beberapa entri memiliki Path mulai dari \REGISTRY\A\…:

Bisakah Anda jelaskan bagian mana dari registri itu? Bisakah saya melihatnya menggunakan Regedit atau utilitas lain? Bisakah saya mengaksesnya secara terprogram?

Saya menjalankan Windows 8.1 Enterprise x64 .

UPDATE: Saya telah menghubungi pengembang Procmon dan mereka menunjuk saya ke sumber daya MSDN berikut yang mencakup pertanyaan ini:

• Memfilter Operasi Pendaftaran pada Sarang Aplikasi
• Fungsi RegLoadAppKey

Ini adalah sarang aplikasi , yang dapat dilihat di volatilitas tanpa nama! sarang aplikasi adalah kumpulan registri yang dimuat oleh aplikasi mode pengguna untuk menyimpan data status khusus aplikasi. Aplikasi memanggil fungsi RegLoadAppKey untuk memuat sarang aplikasi.

info lebih lanjut tentang

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

Apa arti jalur '\ REGISTRY \ A \ ...' di Sysinternals Procmon log? Bisakah Anda jelaskan bagian mana dari registri itu? Bisakah saya melihatnya menggunakan Regedit atau utilitas lain? Bisakah saya mengaksesnya secara terprogram?

Saya tidak dapat mereproduksi apa yang Anda lihat di sistem saya, tetapi saya dapat memberitahu Anda bagaimana Anda bisa mengetahui apa yang ada di sistem Anda. Anda dapat melihat daftar semua kumpulan registri yang saat ini dipasang di bawah nama apa pun (termasuk sarang di seluruh sistem, sarang pengguna untuk pengguna yang saat ini masuk, dan sarang apa pun yang dimuat secara manual atau dengan perangkat lunak) di kunci registri berikut. Ini akan menunjukkan path registri internal dan path ke file sarang (gambar 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Anda dapat menggunakan perintah ini untuk melihat layanan mana yang di-host oleh contoh spesifik svchost.exe. Saya telah menggunakan pid (1240) yang digunakan pada saat screenshot Anda; ganti dengan PID saat ini.

tasklist /svc /fi "pid eq 1240"

Gambar 1 : Screenshot dari registry-editor dengan kunci hivelist yang disorot, menunjukkan hive registry yang terpasang

\REGISTRY\Aadalah kumpulan registri tersembunyi untuk digunakan oleh aplikasi Windows Store (alias aplikasi Metro-style).

Saya perlu menjawab pertanyaan saya sendiri di komentar.

Untuk mengedit sarang pribadi, harus dimuat sebelumnya.

Untuk Visual Studio dapat dibuat dengan cara ini:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Peningkatan isolasi dan ketahanan VS 2017, sekarang menggunakan sarang registri pribadi. VS internal menggunakan pengalihan dan sementara untuk ekstensi VS (yang dll.) Ini transparan, untuk proses eksternal (yang exes), ini menyebabkan mereka tidak berfungsi.

Untuk mengubah nilai dalam kumpulan registri pribadi dengan tangan, Anda dapat menggunakan regedit.exe untuk memuat sarang pribadi. Anda harus memilih simpul HKEY_USERS, dan klik menu File> Load Hive…. Anda memilih file privateregistry.bin, beri nama ke sarang (saya memasukkan "VS2017PrivateRegistry") dan sekarang Anda dapat melihat kunci 15.0_Config yang diisi seperti biasa (catatan: gunakan File> Bongkar Sarang saat selesai):

Untuk mengubah nilai dalam kumpulan registri pribadi secara terprogram Anda perlu membangun ekstensi untuk VS atau jika Anda ingin menggunakan exe eksternal Anda perlu menggunakan fungsi RegLoadAppKey atau menghindari menggunakan registri secara langsung dan menggunakan Manajer Pengaturan Eksternal. Lihat bagian "Ubah: Kurangi dampak registri" di Breaking Changes in Visual Studio 2017 extensibility.

Jangan lupa untuk membongkar sarang di regedit sebelum memulai aplikasi menggunakannya.