เส้นทาง '\ REGISTRY \ A \ …' ในบันทึกของ Sysinternals Procmon หมายถึงอะไร

22

ฉันใช้อรรถประโยชน์ Sysinternals Procmon เพื่อตรวจสอบการเข้าถึงรีจิสทรีโดยบางโปรแกรม รายการบันทึกส่วนใหญ่มีคุณสมบัติเส้นทางเริ่มต้นจากHKCU\…หรือHKLM\…ที่สอดคล้องกับกลุ่มรีจิสทรีHKEY_CURRENT_USERและHKEY_LOCAL_MACHINEที่สามารถเห็นได้โดยใช้ Regedit แต่บางรายการมีเส้นทางเริ่มต้นจาก\REGISTRY\A\…:

ป้อนคำอธิบายรูปภาพที่นี่

คุณช่วยอธิบายส่วนใดของรีจิสตรีได้บ้าง ฉันสามารถดูได้โดยใช้ Regedit หรือยูทิลิตี้อื่น ๆ ? ฉันสามารถเข้าถึงได้โดยใช้โปรแกรมหรือไม่

ฉันทำงานของ Windows 8.1 องค์กร x 64

UPDATE: ฉันได้ติดต่อผู้พัฒนา Procmon และพวกเขาแนะนำให้ฉันไปที่แหล่งข้อมูล MSDN ต่อไปนี้ซึ่งครอบคลุมคำถามนี้:

— Vladimir Reshetnikov
แหล่งที่มา

2

คำถามที่เกี่ยวข้อง: stackoverflow.com/questions/4611291/…

— Vladimir Reshetnikov

คุณลองคลิกขวาแล้วเลือกJump To ?

— Synetech

ใช่ แต่จะข้ามไปยังคีย์ที่ไม่เกี่ยวข้อง

— Vladimir Reshetnikov

คุณแน่ใจหรือไม่ว่าไม่เกี่ยวข้อง คุณลองใช้การข้ามไปยังคีย์ที่คล้ายกันเพื่อดูว่ามันข้ามไปยังคีย์ที่คล้ายกันหรือไปยังคีย์ที่แตกต่างอย่างสิ้นเชิงหรือไม่? ตัวอย่างเช่นถ้าregistry\a\foobar\1กระโดดไปhkcu\software\blah\aแต่registry\a\foobar\2กระโดดไปhklm\software\microsoft\internet explorerแล้วพวกเขาดูเหมือนจะไม่เกี่ยวข้องกัน แต่ถ้าคนที่สองกระโดดไปhkcu\software\blah\bแล้วพวกเขาก็ดูเหมือนจะเกี่ยวข้องในทางใดทางหนึ่ง ; มีแผนที่บางประเภท

— Synetech

อืมฉันคิดว่าฉันรู้ว่าคุณจะรู้ได้อย่างไรว่ามันคืออะไร แต่มันจะต้องรอจนกว่าพรุ่งนี้เช้า (เวลาของฉัน) เมื่อฉันสามารถทดสอบได้ ...

— Synetech

7

มันเป็นกลุ่มแอปพลิเคชันซึ่งสามารถมองเห็นได้ด้วยความสมัครใจโดยไม่มีชื่อ! กลุ่ม pplication เป็นกลุ่มรีจิสทรีที่โหลดโดยแอปพลิเคชันโหมดผู้ใช้เพื่อเก็บข้อมูลสถานะเฉพาะแอปพลิเคชัน แอปพลิเคชันเรียกใช้ฟังก์ชัน RegLoadAppKey เพื่อโหลดกลุ่มแอปพลิเคชัน

ข้อมูลเพิ่มเติมเกี่ยวกับ

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

— abs2run
แหล่งที่มา

1

เป็นไปได้ที่จะแก้ไขหรือลบข้อมูลทั้งหมด?

— Maxim

5

เส้นทาง '\ REGISTRY \ A \ …' ในบันทึกของ Sysinternals Procmon หมายถึงอะไร คุณช่วยอธิบายส่วนใดของรีจิสตรีได้บ้าง ฉันสามารถดูได้โดยใช้ Regedit หรือยูทิลิตี้อื่น ๆ ? ฉันสามารถเข้าถึงได้โดยใช้โปรแกรมหรือไม่

ฉันไม่สามารถทำซ้ำสิ่งที่คุณเห็นในระบบของฉัน แต่ฉันสามารถบอกคุณได้ว่าคุณจะรู้ได้อย่างไรว่ามันมีอะไรกับคุณ คุณสามารถดูรายการกลุ่มรีจิสทรีทั้งหมดที่ถูกเมาท์ภายใต้ชื่อใด ๆ (รวมถึงกลุ่มลมพิษทั้งระบบลมพิษผู้ใช้สำหรับผู้ใช้ที่เข้าสู่ระบบในปัจจุบันและลมพิษใด ๆ ที่โหลดด้วยตนเองหรือโดยซอฟต์แวร์) ที่คีย์รีจิสทรีต่อไปนี้ มันจะแสดงทั้งเส้นทางรีจิสทรีภายในและเส้นทางไปยังไฟล์ไฮฟ์ (รูปที่ 1)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

svchost.exeคุณสามารถใช้คำสั่งนี้เพื่อดูว่าบริการที่ถูกจัดขึ้นโดยอินสแตนซ์ที่เฉพาะเจาะจงของ ฉันใช้ pid (1240) ที่ใช้ในขณะที่จับภาพหน้าจอของคุณ แทนที่ด้วย PID ปัจจุบัน

tasklist /svc /fi "pid eq 1240"

รูปที่ 1 : ภาพหน้าจอของตัวแก้ไขรีจิสทรีพร้อมไฮไลต์คีย์ hivelist แสดงการติดตั้งกลุ่มรีจิสทรี

สกรีนช็อตของตัวแก้ไขรีจิสทรีพร้อมปุ่มไฮไลต์

— Synetech
แหล่งที่มา

2

\REGISTRY\Aไม่มีอยู่ในhivelistคีย์ คำตอบจาก @ abs2run เป็นคำตอบที่ถูกต้องในการทั่วไป

— Eryk Sun

1

แม้ว่าข้อมูลที่เกี่ยวกับการเป็นที่น่าสนใจและมีประโยชน์แม้ว่านี้ไม่ได้อธิบายhivelist \REGISTRY\A

— binki

5

\REGISTRY\Aเป็นกลุ่มรีจิสทรีที่ซ่อนอยู่เพื่อใช้งานโดยแอพ Windows Store (หรือที่รู้จักในชื่อแอพสไตล์เมโทร)

— Piotr Shatalin
แหล่งที่มา

2

ปัญหาเล็กน้อย: • คำถามนี้มีกลุ่มรีจิสทรีที่สงสัย แต่อยู่ในWindows 7ดังนั้นจึงดูเหมือนไม่ได้เชื่อมต่อกับแอพ Windows •แม้ว่าคุณจะถูกต้องแอป Windows และอะไรที่ใช้งานจริง นั่นคือมันจะให้อะไรที่รีจิสทรีปกติไม่ได้? •หน้า Wikipedia ที่คุณลิงค์ไม่ได้พูดถึงรีจิสตรีเลยเราไม่มีวิธียืนยันสิ่งที่คุณพูดหรือเรียนรู้เกี่ยวกับมัน

— Synetech

ใน win10 ถ้าคุณทำบันทึกการบูต procmon และตัวกรองบน "พา ธ ประกอบด้วย \ registry \ a" และ "operation is regloadkey" รายละเอียดคุณจะเห็น "ไฮฟ์พา ธ : system32 \ config \ BBI" และไฮฟ์ "ไฮฟ์พา ธ : activationstore.dat "ไฟล์ที่ประมวลผลสำหรับแอพ windows ในระหว่างการบู๊ต บางครั้งบริการ dcomlaunch ใช้เวลานานกับรังผึ้ง BBI ขึ้นอยู่กับจำนวนผู้ใช้

— js2010

4

ฉันต้องตอบคำถามด้วยตัวเองในความคิดเห็น

หากต้องการแก้ไขไฮฟ์ส่วนตัวควรโหลดก่อน

สำหรับ Visual Studio สามารถทำได้ด้วยวิธีนี้:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

การเพิ่มการแยกและความยืดหยุ่นของ VS 2017 มันใช้ตอนนี้กลุ่มรีจิสทรีส่วนตัว VS ภายในใช้การเปลี่ยนเส้นทางและในขณะที่ส่วนขยาย VS (ซึ่งเป็น DLLs) นี่คือความโปร่งใสสำหรับกระบวนการภายนอก (ที่มีอยู่) สิ่งนี้ทำให้พวกเขาไม่ทำงาน

เมื่อต้องการเปลี่ยนค่าในกลุ่มรีจิสทรีส่วนตัวด้วยตนเองคุณสามารถใช้ regedit.exe เพื่อโหลดกลุ่มส่วนตัว คุณต้องเลือกโหนด HKEY_USERS และคลิกเมนูไฟล์> โหลดไฮฟ์… คุณเลือกไฟล์ privateregistry.bin ตั้งชื่อให้กับกลุ่ม (ฉันป้อน“ VS2017PrivateRegistry”) และตอนนี้คุณสามารถเห็นคีย์ 15.0_Config ที่บรรจุตามปกติ (หมายเหตุ: ใช้ไฟล์> ยกเลิกการโหลดไฮฟ์เมื่อเสร็จสิ้น):

ในการเปลี่ยนค่าในกลุ่มรีจิสทรีส่วนตัวโดยทางโปรแกรมคุณต้องสร้างส่วนขยายสำหรับ VS หรือหากคุณต้องการใช้ exe ภายนอกคุณต้องใช้ฟังก์ชัน RegLoadAppKey หรือหลีกเลี่ยงการใช้รีจิสทรีโดยตรงและใช้ External Settings Manager ดูส่วน“ เปลี่ยนแปลง: ลดผลกระทบต่อรีจิสทรี” ในการเปลี่ยนแปลงที่เพิ่มมากขึ้นใน Visual Studio 2017

อย่าลืมยกเลิกการโหลดกลุ่มใน regedit ก่อนที่จะเริ่มใช้แอปพลิเคชัน

— คติพจน์
แหล่งที่มา