Co oznacza ścieżka „\ REGISTRY \ A \…” w logu Sysinternals Procmon?

Używam narzędzia Sysinternals Procmon do monitorowania dostępu do rejestru przez niektóre programy. Większość wpisów w dzienniku ma właściwość Path zaczynającą się od HKCU\…lub HKLM\…, która odpowiada gałęziom rejestru HKEY_CURRENT_USERi HKEY_LOCAL_MACHINEktórą można zobaczyć za pomocą Regedit. Ale niektóre wpisy mają ścieżkę zaczynającą się od \REGISTRY\A\…:

Czy mógłbyś wyjaśnić, która to część rejestru? Czy mogę to zobaczyć za pomocą Regedit lub innego narzędzia? Czy mogę uzyskać do niego dostęp programowo?

Korzystam z systemu Windows 8.1 Enterprise x64 .

AKTUALIZACJA: Skontaktowałem się z programistami Procmon i wskazali mi następujące zasoby MSDN obejmujące to pytanie:

• Filtrowanie operacji rejestru w gałęziach aplikacji
• Funkcja RegLoadAppKey

Jest to ul aplikacji , którego nazwy można zobaczyć bez nazwy! ule aplikacji to ule rejestru ładowane przez aplikacje w trybie użytkownika do przechowywania danych stanu specyficznych dla aplikacji. Aplikacja wywołuje funkcję RegLoadAppKey w celu załadowania gałęzi aplikacji.

więcej informacji na temat

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

Co oznacza ścieżka „\ REGISTRY \ A \…” w dzienniku Sysinternals Procmon? Czy mógłbyś wyjaśnić, która to część rejestru? Czy mogę to zobaczyć za pomocą Regedit lub innego narzędzia? Czy mogę uzyskać do niego dostęp programowo?

Nie mogę odtworzyć tego, co widzisz w moim systemie, ale mogę ci powiedzieć, jak możesz dowiedzieć się, co to jest w twoim systemie. Możesz wyświetlić listę wszystkich gałęzi rejestru, które są obecnie zamontowane pod dowolną nazwą (w tym gałęzi systemowych, gałęzi użytkowników dla zalogowanych użytkowników oraz gałęzi załadowanych ręcznie lub programowo) przy następującym kluczu rejestru. Wyświetli zarówno wewnętrzną ścieżkę rejestru, jak i ścieżkę do pliku gałęzi (rysunek 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Możesz użyć tego polecenia, aby zobaczyć, które usługi są hostowane przez określoną instancję svchost.exe. Użyłem pid (1240), którego używał w momencie twojego zrzutu ekranu; zastąp go bieżącym PID.

tasklist /svc /fi "pid eq 1240"

Rysunek 1 : Zrzut ekranu edytora rejestru z podświetlonym kluczem listy hivel, pokazujący zamontowane gałęzie rejestru

\REGISTRY\Ato ukryty gałąź rejestru do użytku przez aplikacje ze Sklepu Windows (znane również jako aplikacje w stylu Metro).

W komentarzach muszę odpowiedzieć na własne pytanie.

Aby edytować prywatny ula, należy go wcześniej załadować.

W przypadku Visual Studio można to zrobić w następujący sposób:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Aby zwiększyć izolację i odporność VS 2017, korzysta on teraz z prywatnego rejestru. Wewnętrznie VS używa przekierowania i chociaż dla rozszerzeń VS (które są bibliotekami DLL) jest to przezroczyste, dla procesów zewnętrznych (które są exe), powoduje to, że nie działają.

Aby ręcznie zmienić wartości w gałęzi rejestru prywatnego, można użyć regedit.exe w celu załadowania gałęzi prywatnej. Musisz wybrać węzeł HKEY_USERS i kliknąć menu Plik> Załaduj gałąź… Wybierasz plik privateregistry.bin, nadajesz nazwę gałęzi (wpisałem „VS2017PrivateRegistry”) i teraz możesz zobaczyć, jak klucz 15.0_Config jest wypełniony jak zwykle (uwaga: po zakończeniu użyj Plik> Zwolnij gałąź):

Aby programowo zmienić wartości w gałęzi rejestru prywatnego, musisz albo zbudować rozszerzenie VS, albo jeśli chcesz użyć zewnętrznego pliku exe, musisz użyć funkcji RegLoadAppKey lub unikać bezpośredniego korzystania z rejestru i użyć Menedżera ustawień zewnętrznych. Zobacz sekcję „Zmiana: zmniejsz wpływ rejestru” w Przełamywanie zmian w rozszerzalności programu Visual Studio 2017.

Nie zapomnij rozładować gałęzi w regedit przed uruchomieniem aplikacji.