Como encontro as entradas de registro ocultas?

Descobri que a melhor maneira de fazer isso é usar o Monitor de processo .

Basta começar a ler Microsoft Technet e você encontrará muitas e mais chaves de registro "ocultas" / valores. Não sei se há alguma lista de chaves que não estão aqui após a instalação limpa, mas você as encontrará depois de começar a invadir o Windows.

O que faço quando preciso de alguma funcionalidade / comportamento especial com o Windows (ou apenas quero saber mais sobre algumas funcionalidades bem conhecidas):

• Tente encontrar sobre isso no google & stackexchange, talvez alguém já tenha feito esse trabalho.
• Tente encontrar maneiras alternativas de fazer isso, se for encontrado, tente aprender com eles.
• Descubra se algum sistema operacional Windows pode fazer isso, descubra como.
• Procure registro com regedit, use sua imaginação aqui.
• Tente desmontar melhor parte do sistema operacional que você deseja modificar / entender melhor. Se falhar / travar, encontre outra rota e comece novamente.
• Lembre-se, se parecer que não pode ser feito, você ainda tem muitas opções: 1. Escreva seu próprio programa que a) manipula a interface do usuário existente ou b) cria uma nova interface do usuário ou c) estende a parte do SO que você não gosta ou d) substitui OS parte que você não gosta.
  2. Esqueceu sobre isso.

Já notado nos comentários, você deve ler mais sobre os recursos internos do Windows e fazer perguntas mais específicas depois de ter alguns problemas reais em encontrar alguns valores especiais. Eu acho que se você realmente precisa da lista completa de chaves / valores, então você deve fazer um (pelo menos parcialmente) você mesmo, como exercício de aprendizagem.

E como última parte, aqui estão algumas linhas fáceis de logagent.exe :

0000:1188 |                 CryptUnprotectData..CryptPro
0000:11B4 | tectData....c.r.y.p.t.3.2...d.l.l...E.n.a.b.
0000:11E0 | l.e.N.e.g.o.t.i.a.t.e...S.o.f.t.w.a.r.e.\.M.
0000:120C | i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.u.r.r.e.
0000:1238 | n.t.V.e.r.s.i.o.n.\.I.n.t.e.r.n.e.t. .S.e.t.
0000:1264 | t.i.n.g.s...=.".....r.e.a.l.m... ...,.;.....
0000:1290 |  .......N.e.g.o.t.i.a.t.e...B.a.s.i.c. .....
0000:12BC | https://....D.e.l.e.t.e.....N.o.R.e.m.o.v.e.
0000:12E8 | ....F.o.r.c.e.R.e.m.o.v.e...V.a.l...B...D...
0000:1314 | S...................ì...Ø...È...ê¶..¯·..bü..
0000:1340 | I·..d·...·..à·...·..¦·...¹..bü...º..O¾..¶Ü..
0000:136C | .Ý..cÝ..!º..8º..'[..Dº..ú...º..O¾..¶Ü...Ý..
0000:1398 | cÝ...Ï..8º..VÏ..Dº..  [proxy]...:././...1.2.
0000:13C4 | 7...0...0...1...d.o.o.G.....d.r.o.w.s.s.a.P.
0000:13F0 | ....r.e.s.U.....h.t.a.P.....\...SOFTWARE\Mic
0000:141C | rosoft\Windows Media\WMSDK\etacsufbO.... .:.
0000:1448 |  ... .?. ...?. .....L.o.a.d.C.r.e.d.e.n.t.i.
0000:1474 | a.l.s...................ì...Ø...È...^..n..5N
0000:14A0 | ·.jC/.ËôWNetRemoveCachedPassword....WNetCach
0000:14CC | ePassword...WNetGetCachedPassword...mpr.dll.
0000:14F8 | PStoreCreateInstance....pstorec.dll.DisableP
0000:1524 | asswordCaching..SOFTWARE\Microsoft\Windows M
0000:1550 | edia\WMSDK..A.c.c.e.s.s.P.e.r.m.i.s.s.i.o.n.
0000:157C | ....A.P.P.I.D.\.{.%.s.}.....A.P.P.I.D.\.%.s.
0000:15A8 | ....L.a.u.n.c.h.P.e.r.m.i.s.s.i.o.n.........
0000:15D4 | ............Ðñ..Áñ...ò...ñ..1ì......Zé..?é..
0000:1600 | ßñ...é..Kê..ßé...í..Xê..iê..Ïò..sê...ê...ë..
0000:162C | 9ë..'ì...(..hò..................ì...Ø...È...
0000:1658 | +...._..÷....ø..3ô..J...a...............¢...
0000:1684 | ....K.......Ý.......à...¹...Z.......äô..#ö..
0000:16B0 | .õ...÷..{ü...ü...ü..ïû..bü..Wü..Wü...ü...ü..
0000:16DC | °û..WSAJoinLeaf.WSARecvFrom.WSARecv.WSAConne
0000:1708 | ct..WSASocketA..WSASendTo...WSASend.WSAIoctl
0000:1734 | ....WSAEnumProtocolsA...ws2_32..U.s.e. .T.r.
0000:1760 | a.n.s.m.i.t.P.a.c.k.e.t.s.......S.o.f.t.w.a.
0000:178C | r.e.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s. .M.
0000:17B8 | e.d.i.a.\.P.l.a.t.f.o.r.m...Æô..._..Õô..Þ...
0000:17E4 | ....+...._..÷...........J...a...............
0000:1810 | ¢.......K.......Ý.......à...¹...Z.......;...
0000:183C | ........................ì...Ø...È...w>.ÍÖfdF
0000:1868 | .Ç6Û¶AÐñS.o.f.t.w.a.r.e.\.M.i.c.r.o.s.o.f.t.
0000:1894 | \.W.i.n.d.o.w.s. .M.e.d.i.a.\.W.M.S.D.K.\.N.
0000:18C0 | A.T.P.o.r.t.M.a.p.p.i.n.g.s.....U.D.P...T.C.
0000:18EC | P...%.x. .%.s. .%.u.....FreeAddrInfoW...GetA
0000:1918 | ddrInfoW....w.s.2._.3.2...d.l.l.....W.i.n.d.
0000:1944 | o.w.s. .M.e.d.i.a. .F.o.r.m.a.t. .S.D.K. .(.
0000:1970 | %.s.)...:.:.....:.:.1...0...0...0...0...?.#.
0000:199C | ....................ì...Ø...È...l...h...d...
0000:19C8 | '[email protected]                

Agora você tem poucas linhas, o que fazer? Se você tiver sorte, os valores são codificados com chaves e eles podem ser recuperados de cima, procurando sequências de bytes de registro e, em seguida, encontrando valores corretos. Além disso, você pode tentar encontrar mensagens de erro e seus endereços para rastrear qual parte do programa os libera (algumas habilidades de montagem são necessárias, mas não é muito difícil se a engenharia reversa completa / a modificação do programa não forem necessárias).