Saya menggunakan utilitas Sysinternals Procmon untuk memantau akses registri oleh beberapa program. Sebagian besar entri log memiliki properti Path mulai dari HKCU\…
atau HKLM\…
, yang sesuai dengan sarang registri HKEY_CURRENT_USER
dan HKEY_LOCAL_MACHINE
yang dapat dilihat menggunakan Regedit. Tetapi beberapa entri memiliki Path mulai dari \REGISTRY\A\…
:
Bisakah Anda jelaskan bagian mana dari registri itu? Bisakah saya melihatnya menggunakan Regedit atau utilitas lain? Bisakah saya mengaksesnya secara terprogram?
Saya menjalankan Windows 8.1 Enterprise x64 .
UPDATE: Saya telah menghubungi pengembang Procmon dan mereka menunjuk saya ke sumber daya MSDN berikut yang mencakup pertanyaan ini:
windows-registry
regedit
sysinternals
procmon
Vladimir Reshetnikov
sumber
sumber
registry\a\foobar\1
melompat kehkcu\software\blah\a
tetapiregistry\a\foobar\2
melompat kehklm\software\microsoft\internet explorer
, maka mereka tampaknya tidak berhubungan, tetapi jika yang kedua melompat kehkcu\software\blah\b
, maka mereka tampaknya terkait dalam beberapa cara ; ada semacam pemetaan.Jawaban:
Ini adalah sarang aplikasi , yang dapat dilihat di volatilitas tanpa nama! sarang aplikasi adalah kumpulan registri yang dimuat oleh aplikasi mode pengguna untuk menyimpan data status khusus aplikasi. Aplikasi memanggil fungsi RegLoadAppKey untuk memuat sarang aplikasi.
info lebih lanjut tentang
http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx
sumber
Saya tidak dapat mereproduksi apa yang Anda lihat di sistem saya, tetapi saya dapat memberitahu Anda bagaimana Anda bisa mengetahui apa yang ada di sistem Anda. Anda dapat melihat daftar semua kumpulan registri yang saat ini dipasang di bawah nama apa pun (termasuk sarang di seluruh sistem, sarang pengguna untuk pengguna yang saat ini masuk, dan sarang apa pun yang dimuat secara manual atau dengan perangkat lunak) di kunci registri berikut. Ini akan menunjukkan path registri internal dan path ke file sarang (gambar 1).
Anda dapat menggunakan perintah ini untuk melihat layanan mana yang di-host oleh contoh spesifik
svchost.exe
. Saya telah menggunakan pid (1240) yang digunakan pada saat screenshot Anda; ganti dengan PID saat ini.Gambar 1 : Screenshot dari registry-editor dengan kunci hivelist yang disorot, menunjukkan hive registry yang terpasang
sumber
\REGISTRY\A
tidak tercantum dalamhivelist
kunci. The jawaban dari @ abs2run adalah jawaban yang benar pada umumnya.hivelist
itu menarik dan bermanfaat, meskipun ini tidak menjelaskan\REGISTRY\A
.\REGISTRY\A
adalah kumpulan registri tersembunyi untuk digunakan oleh aplikasi Windows Store (alias aplikasi Metro-style).sumber
Saya perlu menjawab pertanyaan saya sendiri di komentar.
Untuk mengedit sarang pribadi, harus dimuat sebelumnya.
Untuk Visual Studio dapat dibuat dengan cara ini:
https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral
Jangan lupa untuk membongkar sarang di regedit sebelum memulai aplikasi menggunakannya.
sumber