O que significa o caminho '\ REGISTRY \ A \…' no log Procmon da Sysinternals?

17

Eu uso o utilitário Sysinternals Procmon para monitorar o acesso ao registro por alguns programas. A maioria das entradas de log tem a propriedade Path começando em HKCU\… ou HKLM\… , que corresponde às ramificações HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE do registro que podem ser vistas usando o Regedit. Mas algumas entradas têm o caminho a partir de \REGISTRY\A\… :

Vocêpoderia,porfavor,explicarquepartedoregistroé?Possovê-lousandooRegeditoualgumoutroutilitário?Possoacessá-loprogramaticamente?

EstouexecutandooWindows8.1Enterprisex64.

UPDATE:EntreiemcontatocomosdesenvolvedoresdaProcmoneelesmeindicaramosseguintesrecursosdoMSDNsobreessaquestão:

por Vladimir Reshetnikov 17.12.2013 / 19:58

4 respostas

6

É o hive de aplicação , que pode ser visto na volatilidade por no name! As seções de aplicação são seções de registro carregadas pelos aplicativos de modo de usuário para armazenar dados de estado específicos do aplicativo. Um aplicativo chama a função RegLoadAppKey para carregar uma seção de aplicativo.

mais informações sobre

link

    
por 01.09.2014 / 08:41
5

\REGISTRY\A é uma seção de registro oculta para uso por aplicativos da Windows Store (também conhecidos como aplicativos estilo Metro).

    
por 26.12.2013 / 19:57
4

What does the path '\REGISTRY\A\…' in Sysinternals Procmon log mean? Could you please explain what part of the registry it is? Can I see it using Regedit or some other utility? Can I access it programmatically?

Eu não consigo reproduzir o que você está vendo no meu sistema, mas posso dizer como você pode descobrir o que é seu. Você pode ver uma lista de todas as seções do Registro montadas atualmente sob qualquer nome (incluindo seções gerais do sistema, seções do usuário para usuários que estão atualmente conectados e quaisquer seções carregadas manualmente ou por software) na seguinte chave do Registro. Ele mostrará o caminho interno do registro e o caminho para o arquivo da seção (figura 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Você pode usar este comando para ver quais serviços estão sendo hospedados pela instância específica de svchost.exe . Eu usei o pid (1240) que ele estava usando no momento da captura de tela; substitua-o pelo PID atual.

tasklist /svc /fi "pid eq 1240"

Figura 1 : Captura de tela do editor de registro com a chave hivelist realçada, mostrando os hives de registro montados

    
por 24.12.2013 / 16:08
0

Eu preciso responder à minha própria pergunta nos comentários.

Para editar a seção privada, ela deve ser carregada antes.

Para o Visual Studio, pode ser feito desta forma:

link

The increase the isolation and resilience of VS 2017, it uses now a private registry hive. Internally VS uses a redirection and while for VS extensions (which are dlls) this is transparent, for external processes (that are exes), this causes them not to work.

To change values in the private registry hive by hand, you can use regedit.exe to load a private hive. You need to select the HKEY_USERS node, and click the File > Load Hive… menu. You select the privateregistry.bin file, give a name to the hive (I entered “VS2017PrivateRegistry”) and now you can see the 15.0_Config key populated as usual (note: use File > Unload Hive when done):

screenshot

To change values in the private registry hive programmatically you need either to build an extension for VS or if you want to use an external exe you need to use the RegLoadAppKey function or avoid using the registry directly and use the External Settings Manager. See the section “Change: Reduce registry impact” in Breaking Changes in Visual Studio 2017 extensibility.

Não se esqueça de descarregar a seção no regedit antes de iniciar a aplicação usando-a.

    
por 15.05.2018 / 23:55