Cosa significa il percorso '\ REGISTRY \ A \…' nel registro Procmon di Sysinternals?

22

Uso l'utility Sysinternals Procmon per monitorare l'accesso al registro tramite alcuni programmi. La maggior parte delle voci di registro hanno la proprietà Path che inizia da HKCU\…o HKLM\…, che corrisponde agli hive del registro HKEY_CURRENT_USERe HKEY_LOCAL_MACHINEche può essere vista usando Regedit. Ma alcune voci hanno il percorso a partire da \REGISTRY\A\…:

inserisci qui la descrizione dell'immagine

Potresti spiegare quale parte del registro è? Posso vederlo usando Regedit o qualche altra utility? Posso accedervi programmaticamente?

Sto eseguendo Windows 8.1 Enterprise x64 .

AGGIORNAMENTO: ho contattato gli sviluppatori Procmon e mi hanno indicato le seguenti risorse MSDN relative a questa domanda:

windows-registry  regedit  sysinternals  procmon 
Vladimir Reshetnikov
fonte
2
Vladimir Reshetnikov
Hai provato a fare clic con il tasto destro su uno e selezionando Vai a ?
Synetech,
Sì, ma passa a una chiave non correlata.
Vladimir Reshetnikov,
Sei sicuro che non sia correlato? Hai provato a utilizzare il passaggio rapido a un tasto simile per vedere se passa a un tasto simile o a un tasto completamente diverso? Ad esempio, se registry\a\foobar\1salta a hkcu\software\blah\ama registry\a\foobar\2salta a hklm\software\microsoft\internet explorer, allora sembrano non essere collegati, ma se la seconda salta a hkcu\software\blah\b, allora sembrano essere in qualche modo collegati ; c'è una sorta di mappatura.
Synetech,
Hmm, penso di sapere come puoi scoprire esattamente di cosa si tratta, ma dovrò aspettare fino a domani mattina (ora mia) quando potrò testarlo ...
Synetech,

Risposte:

7

È l' hive dell'applicazione , che può essere visto in volatilità senza nome! Gli hive di pplication sono hive di registro caricati da applicazioni in modalità utente per memorizzare dati di stato specifici dell'applicazione. Un'applicazione chiama la funzione RegLoadAppKey per caricare un hive dell'applicazione.

maggiori informazioni su

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

abs2run
fonte
1
È possibile modificare o eliminare completamente questi dati?
Massimo
5

Cosa significa il percorso '\ REGISTRY \ A \…' nel registro Procmon di Sysinternals? Potresti spiegare quale parte del registro è? Posso vederlo usando Regedit o qualche altra utility? Posso accedervi programmaticamente?

Non riesco a riprodurre ciò che stai vedendo sul mio sistema, ma posso dirti come puoi scoprire cosa c'è sul tuo. È possibile visualizzare un elenco di tutti gli hive del registro che sono attualmente montati con qualsiasi nome (inclusi hive a livello di sistema, hive utente per gli utenti attualmente connessi e tutti gli hive caricati manualmente o tramite software) nella seguente chiave di registro. Mostrerà sia il percorso del registro interno sia il percorso del file hive (figura 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

È possibile utilizzare questo comando per vedere quali servizi sono ospitati dall'istanza specifica di svchost.exe. Ho usato il pid (1240) che stava usando al momento del tuo screenshot; sostituirlo con l'attuale PID.

tasklist /svc /fi "pid eq 1240"

Figura 1 : Schermata dell'editor del registro con la chiave hivelist evidenziata, che mostra gli hive del registro montati

Schermata dell'editor del registro con la chiave dell'hivelist evidenziata

Synetech
fonte
2
\REGISTRY\Anon è elencato nella hivelistchiave. La risposta di @ abs2run è la risposta corretta in generale.
Eryk Sun,
1
Sebbene le informazioni su hivelistsiano interessanti e utili, anche se questo non spiega \REGISTRY\A.
binki,
5

\REGISTRY\Aè un hive di registro nascosto che può essere utilizzato dalle app di Windows Store (ovvero app in stile Metro).

Piotr Shatalin
fonte
2
Alcuni problemi: • Questa domanda ha l'hive di registro in questione ma si trova su Windows 7 , quindi non sembra che sia connessa ad app di Windows. • Anche se hai ragione, cosa e come le usano esattamente le app di Windows; cioè, cosa prevede che il registro normale no? • La pagina Wikipedia a cui ti sei collegato non menziona affatto il registro, quindi non abbiamo modo di confermare ciò che hai detto o di conoscerlo.
Synetech,
In win10, se si esegue un registro di avvio procmon e si filtra su "percorso contiene \ register \ a" e "operazione è regloadkey", in dettaglio vedrai "percorso hive: system32 \ config \ BBI" e molti "percorso hive : activstore.dat "file elaborati per le app di Windows durante l'avvio. A volte il servizio dcomlaunch impiega molto tempo con l'hive BBI a seconda del numero di utenti.
js2010,
4

Devo rispondere alla mia domanda nei commenti.

Per modificare l'hive privato dovrebbe essere caricato prima.

Per Visual Studio può essere fatto in questo modo:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Aumentando l'isolamento e la resilienza di VS 2017, utilizza ora un alveare del registro privato. Internamente VS utilizza un reindirizzamento e mentre per le estensioni VS (che sono dll) questo è trasparente, per i processi esterni (che sono ex), questo fa sì che non funzionino.

Per modificare manualmente i valori nell'hive del registro privato, è possibile utilizzare regedit.exe per caricare un hive privato. È necessario selezionare il nodo HKEY_USERS e fare clic sul menu File> Carica hive…. Seleziona il file privateregistry.bin, dai un nome all'alveare (ho inserito "VS2017PrivateRegistry") e ora puoi vedere la chiave 15.0_Config popolata come al solito (nota: usa File> Scarica Hive al termine):

immagine dello schermo

Per modificare i valori nell'hive del registro privato a livello di codice, è necessario creare un'estensione per VS oppure, se si desidera utilizzare un exe esterno, è necessario utilizzare la funzione RegLoadAppKey o evitare di utilizzare direttamente il registro e utilizzare Gestione impostazioni esterne. Vedere la sezione "Modifica: ridurre l'impatto del registro" in Ultime modifiche all'estensibilità di Visual Studio 2017.

Non dimenticare di scaricare l'hive in regedit prima di avviare l'applicazione che lo utilizza.

Massima
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.