J'utilise l'utilitaire Sysinternals Procmon pour surveiller l'accès au registre par certains programmes. La plupart des entrées de journal ont la propriété Path commençant par HKCU\…
ou HKLM\…
, qui correspond aux ruches du Registre HKEY_CURRENT_USER
et HKEY_LOCAL_MACHINE
qui peut être vue à l'aide de Regedit. Mais certaines entrées ont le chemin à partir de \REGISTRY\A\…
:
Pourriez-vous expliquer de quelle partie du registre il s'agit? Puis-je le voir en utilisant Regedit ou un autre utilitaire? Puis-je y accéder par programme?
J'utilise Windows 8.1 Enterprise x64 .
MISE À JOUR: J'ai contacté les développeurs Procmon et ils m'ont indiqué les ressources MSDN suivantes couvrant cette question:
windows-registry
regedit
sysinternals
procmon
Vladimir Reshetnikov
la source
la source
registry\a\foobar\1
saute vershkcu\software\blah\a
maisregistry\a\foobar\2
saute vershklm\software\microsoft\internet explorer
, alors ils ne semblent pas être liés, mais si le second sautehkcu\software\blah\b
, alors ils semblent être liés d' une manière ou d'une autre ; il y a une sorte de cartographie.Réponses:
C'est une ruche d'application , qui peut être vue en volatilité sans nom! Les ruches de pplication sont des ruches de registre chargées par des applications en mode utilisateur pour stocker des données d'état spécifiques à l'application. Une application appelle la fonction RegLoadAppKey pour charger une ruche d'application.
plus d'informations sur
http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx
la source
Je ne peux pas reproduire ce que vous voyez sur mon système, mais je peux vous dire comment vous pouvez trouver ce que c'est sur le vôtre. Vous pouvez voir une liste de toutes les ruches de registre qui sont actuellement montées sous n'importe quel nom (y compris les ruches à l'échelle du système, les ruches utilisateur pour les utilisateurs actuellement connectés et toutes les ruches chargées manuellement ou par logiciel) à la clé de registre suivante. Il affichera à la fois le chemin du registre interne et le chemin vers le fichier ruche (figure 1).
Vous pouvez utiliser cette commande pour voir quels services sont hébergés par l'instance spécifique de
svchost.exe
. J'ai utilisé le pid (1240) qu'il utilisait au moment de votre capture d'écran; remplacez-le par le PID actuel.Figure 1 : Capture d'écran de l'éditeur de registre avec la clé de pivot mise en évidence, montrant les ruches de registre montées
la source
\REGISTRY\A
n'est pas répertorié dans lahivelist
clé. La réponse de @ abs2run est la bonne réponse en général.hivelist
soient intéressantes et utiles, même si cela n'explique pas\REGISTRY\A
.\REGISTRY\A
est une ruche de registre masquée à utiliser par les applications du Windows Store (également appelées applications de style Metro).la source
Je dois répondre à ma propre question dans les commentaires.
Pour éditer une ruche privée, elle doit être chargée auparavant.
Pour Visual Studio, cela peut être fait de cette façon:
https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral
N'oubliez pas de décharger la ruche dans regedit avant de démarrer l'application en l'utilisant.
la source