Was bedeutet der Pfad '\ REGISTRY \ A \…' im Sysinternals Procmon-Protokoll?

22

Ich verwende das Dienstprogramm Sysinternals Procmon, um den Registrierungszugriff einiger Programme zu überwachen. Die meisten Protokolleinträge haben die Path-Eigenschaft beginnend mit HKCU\…oder HKLM\…, die den Registrierungsstrukturen entspricht HKEY_CURRENT_USERund HKEY_LOCAL_MACHINEmit Regedit angezeigt wird. Bei einigen Einträgen beginnt der Pfad jedoch mit \REGISTRY\A\…:

Bildbeschreibung hier eingeben

Könnten Sie bitte erläutern, um welchen Teil der Registrierung es sich handelt? Kann ich es mit Regedit oder einem anderen Dienstprogramm anzeigen? Kann ich programmgesteuert darauf zugreifen?

Ich verwende Windows 8.1 Enterprise x64 .


UPDATE: Ich habe mit den Entwicklern von Procmon Kontakt aufgenommen und sie haben mich auf die folgenden MSDN-Ressourcen hingewiesen, die diese Frage behandeln:

Vladimir Reshetnikov
quelle
2
Eine verwandte Frage: stackoverflow.com/questions/4611291/…
Vladimir Reshetnikov
Versuchen Sie einen Rechtsklick auf eine und wählen Sie Gehen zu ?
Synetech
Ja, aber es springt zu einem nicht verwandten Schlüssel.
Vladimir Reshetnikov
Bist du sicher, dass es nichts damit zu tun hat? Haben Sie versucht, mit der Funktion "Zu einer ähnlichen Taste springen" zu prüfen, ob eine ähnliche Taste oder eine völlig andere Taste verwendet wird? Zum Beispiel, wenn registry\a\foobar\1Sprünge zu, hkcu\software\blah\aaber registry\a\foobar\2Sprünge zu hklm\software\microsoft\internet explorer, dann scheinen sie nicht in Beziehung zu stehen, aber wenn der zweite zu springt hkcu\software\blah\b, dann scheinen sie in irgendeiner Weise in Beziehung zu stehen ; Es gibt eine Art Zuordnung.
Synetech
Hmm, ich glaube, ich weiß, wie Sie genau herausfinden können, was es ist, aber es muss bis morgen früh (meine Zeit) warten, bis ich es testen kann ...
Synetech

Antworten:

7

Es handelt sich um einen Anwendungsstock , der namentlich unbeständig ist! Anwendungsstrukturen sind Registrierungsstrukturen, die von Anwendungen im Benutzermodus geladen werden, um anwendungsspezifische Statusdaten zu speichern. Eine Anwendung ruft die RegLoadAppKey-Funktion auf, um eine Anwendungsstruktur zu laden.

Weitere Infos zu

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

abs2run
quelle
1
Ist es möglich, diese Daten vollständig zu bearbeiten oder zu löschen?
Maxim
5

Was bedeutet der Pfad '\ REGISTRY \ A \…' im Sysinternals Procmon-Protokoll? Könnten Sie bitte erläutern, um welchen Teil der Registrierung es sich handelt? Kann ich es mit Regedit oder einem anderen Dienstprogramm anzeigen? Kann ich programmgesteuert darauf zugreifen?

Ich kann nicht reproduzieren, was Sie auf meinem System sehen, aber ich kann Ihnen sagen, wie Sie herausfinden können, was es auf Ihrem System ist. Unter dem folgenden Registrierungsschlüssel wird eine Liste aller Registrierungsstrukturen angezeigt, die derzeit unter einem beliebigen Namen bereitgestellt sind (einschließlich systemweiter Strukturen, Benutzerstrukturen für derzeit angemeldete Benutzer und manuell oder per Software geladener Strukturen). Es werden sowohl der interne Registrierungspfad als auch der Pfad zur Hive-Datei angezeigt (Abbildung 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Mit diesem Befehl können Sie feststellen, welche Dienste von der jeweiligen Instanz von gehostet werden svchost.exe. Ich habe die PID (1240) verwendet, die zum Zeitpunkt Ihres Screenshots verwendet wurde. Ersetzen Sie ihn durch die aktuelle PID.

tasklist /svc /fi "pid eq 1240"

Abbildung 1 : Screenshot des Registrierungseditors mit hervorgehobenem Hivelist-Schlüssel und eingebundenen Registrierungsstrukturen

Screenshot des Registrierungseditors mit hervorgehobenem Hivelist-Schlüssel

Synetech
quelle
2
\REGISTRY\Aist nicht im hivelistSchlüssel aufgeführt. Die Antwort von @ abs2run ist im Allgemeinen die richtige Antwort.
Eryk Sun
1
Obwohl die Informationen über hivelistinteressant und nützlich sind, obwohl dies nicht erklärt \REGISTRY\A.
binki
5

\REGISTRY\Aist eine versteckte Registrierungsstruktur, die von Windows Store-Apps (auch als Apps im Metro-Stil bezeichnet) verwendet werden kann.

Piotr Shatalin
quelle
2
Einige Probleme: • Bei dieser Frage handelt es sich um die fragliche Registrierungsstruktur, jedoch um eine Windows 7- Version. Es sieht also nicht so aus, als wäre sie mit Windows-Apps verbunden. • Auch wenn Sie korrekt sind, was und wie genau verwenden Windows-Apps es? das heißt, was sieht es vor, dass die reguläre Registrierung dies nicht tut? • Auf der Wikipedia-Seite, auf die Sie verlinkt haben, wird die Registrierung überhaupt nicht erwähnt. Wir haben daher keine Möglichkeit, Ihre Angaben zu bestätigen oder etwas darüber zu erfahren.
Synetech
Wenn Sie in win10 ein Procmon-Startprotokoll erstellen und nach "Pfad enthält \ Registrierung \ a" filtern und "Vorgang ist regloadkey", werden im Detail "Strukturpfad: system32 \ config \ BBI" und viele "Strukturpfade" angezeigt : activationstore.dat "Dateien, die während des Startvorgangs für Windows-Apps verarbeitet wurden. Abhängig von der Anzahl der Benutzer dauert es manchmal sehr lange, bis der dcomlaunch-Dienst mit dem BBI-Hive ausgeführt wird.
js2010
4

Ich muss meine eigene Frage in Kommentaren beantworten.

Um eine private Struktur zu bearbeiten, muss diese zuvor geladen werden.

Für Visual Studio kann folgendermaßen vorgegangen werden:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Um die Isolation und Ausfallsicherheit von VS 2017 zu erhöhen, wird jetzt eine private Registrierungsstruktur verwendet. Intern verwendet VS eine Umleitung, und während dies für VS-Erweiterungen (die DLLs sind) transparent ist, führt dies für externe Prozesse (die Exes sind) dazu, dass diese nicht funktionieren.

Um Werte in der privaten Registrierungsstruktur manuell zu ändern, können Sie mit regedit.exe eine private Struktur laden. Sie müssen den Knoten HKEY_USERS auswählen und auf das Menü Datei> Struktur laden ... klicken. Sie wählen die Datei privateregistry.bin aus, geben dem Hive einen Namen (ich habe "VS2017PrivateRegistry" eingegeben) und jetzt sehen Sie den 15.0_Config-Schlüssel wie gewohnt ausgefüllt (Hinweis: Verwenden Sie Datei> Hive entladen, wenn Sie fertig sind):

Bildschirmfoto

Um Werte in der privaten Registrierungsstruktur programmgesteuert zu ändern, müssen Sie entweder eine Erweiterung für VS erstellen oder, wenn Sie eine externe Exe verwenden möchten, die RegLoadAppKey-Funktion verwenden oder die Registrierung direkt verwenden und den External Settings Manager verwenden. Weitere Informationen finden Sie im Abschnitt „Ändern: Verringern der Auswirkungen auf die Registrierung“ unter Brechen von Änderungen in der Erweiterbarkeit von Visual Studio 2017.

Vergessen Sie nicht, hive in regedit zu entladen, bevor Sie die Anwendung verwenden.

Maxime
quelle