Que signifie le chemin «\ REGISTRY \ A \…» dans le journal Sysinternals Procmon?

22

J'utilise l'utilitaire Sysinternals Procmon pour surveiller l'accès au registre par certains programmes. La plupart des entrées de journal ont la propriété Path commençant par HKCU\…ou HKLM\…, qui correspond aux ruches du Registre HKEY_CURRENT_USERet HKEY_LOCAL_MACHINEqui peut être vue à l'aide de Regedit. Mais certaines entrées ont le chemin à partir de \REGISTRY\A\…:

entrez la description de l'image ici

Pourriez-vous expliquer de quelle partie du registre il s'agit? Puis-je le voir en utilisant Regedit ou un autre utilitaire? Puis-je y accéder par programme?

J'utilise Windows 8.1 Enterprise x64 .

MISE À JOUR: J'ai contacté les développeurs Procmon et ils m'ont indiqué les ressources MSDN suivantes couvrant cette question:

windows-registry regedit sysinternals procmon Vladimir Reshetnikov
la source
2
Une question connexe: stackoverflow.com/questions/4611291/…
Vladimir Reshetnikov
Avez-vous essayé de cliquer dessus avec le bouton droit et de sélectionner Aller à ?
Synetech
Oui, mais il passe à une clé indépendante.
Vladimir Reshetnikov
Êtes-vous sûr que ce n'est pas lié? Avez-vous essayé d'utiliser le saut vers une clé similaire pour voir s'il passe à une clé similaire ou à une clé complètement différente? Par exemple, si registry\a\foobar\1saute vers hkcu\software\blah\amais registry\a\foobar\2saute vers hklm\software\microsoft\internet explorer, alors ils ne semblent pas être liés, mais si le second saute hkcu\software\blah\b, alors ils semblent être liés d' une manière ou d'une autre ; il y a une sorte de cartographie.
Synetech
Hmm, je pense que je sais comment vous pouvez trouver exactement ce que c'est, mais il faudra attendre demain matin (mon heure) quand je pourrai le tester…
Synetech

Réponses:

7

C'est une ruche d'application , qui peut être vue en volatilité sans nom! Les ruches de pplication sont des ruches de registre chargées par des applications en mode utilisateur pour stocker des données d'état spécifiques à l'application. Une application appelle la fonction RegLoadAppKey pour charger une ruche d'application.

plus d'informations sur

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

abs2run
la source
1
Est-il possible de modifier ou de supprimer entièrement ces données?
Maxim
5

Que signifie le chemin «\ REGISTRY \ A \…» dans le journal Sysinternals Procmon? Pourriez-vous expliquer de quelle partie du registre il s'agit? Puis-je le voir en utilisant Regedit ou un autre utilitaire? Puis-je y accéder par programme?

Je ne peux pas reproduire ce que vous voyez sur mon système, mais je peux vous dire comment vous pouvez trouver ce que c'est sur le vôtre. Vous pouvez voir une liste de toutes les ruches de registre qui sont actuellement montées sous n'importe quel nom (y compris les ruches à l'échelle du système, les ruches utilisateur pour les utilisateurs actuellement connectés et toutes les ruches chargées manuellement ou par logiciel) à la clé de registre suivante. Il affichera à la fois le chemin du registre interne et le chemin vers le fichier ruche (figure 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Vous pouvez utiliser cette commande pour voir quels services sont hébergés par l'instance spécifique de svchost.exe. J'ai utilisé le pid (1240) qu'il utilisait au moment de votre capture d'écran; remplacez-le par le PID actuel.

tasklist /svc /fi "pid eq 1240"

Figure 1 : Capture d'écran de l'éditeur de registre avec la clé de pivot mise en évidence, montrant les ruches de registre montées

Capture d'écran de l'éditeur de registre avec la clé hivelist mise en évidence

Synetech
la source
2
\REGISTRY\An'est pas répertorié dans la hivelistclé. La réponse de @ abs2run est la bonne réponse en général.
Eryk Sun
1
Bien que les informations sur hivelistsoient intéressantes et utiles, même si cela n'explique pas \REGISTRY\A.
binki
5

\REGISTRY\Aest une ruche de registre masquée à utiliser par les applications du Windows Store (également appelées applications de style Metro).

Piotr Shatalin
la source
2
Quelques problèmes: • Cette question a la ruche de registre en question mais est sur Windows 7 , donc il ne semble pas que ce soit des applications Windows connectées. • Même si vous avez raison, quoi et comment les applications Windows l'utilisent-elles exactement; c'est-à-dire, qu'est-ce que cela fournit que le registre régulier ne fait pas? • La page Wikipédia à laquelle vous avez lié ne mentionne pas du tout le registre, nous n'avons donc aucun moyen de confirmer ce que vous avez dit ou d'en savoir plus.
Synetech
Dans win10, si vous faites un journal de démarrage procmon et que vous filtrez sur "le chemin contient \ registre \ a" et "l'opération est regloadkey", vous verrez en détail "chemin de la ruche: system32 \ config \ BBI" et plusieurs "chemin de la ruche : activationstore.dat "fichiers traités pour les applications Windows au démarrage. Parfois, le service dcomlaunch prend beaucoup de temps avec la ruche BBI en fonction du nombre d'utilisateurs.
js2010
4

Je dois répondre à ma propre question dans les commentaires.

Pour éditer une ruche privée, elle doit être chargée auparavant.

Pour Visual Studio, cela peut être fait de cette façon:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Pour augmenter l'isolement et la résilience de VS 2017, il utilise désormais une ruche de registre privée. En interne, VS utilise une redirection et tandis que pour les extensions VS (qui sont des DLL), cela est transparent, pour les processus externes (qui sont des exes), cela les empêche de fonctionner.

Pour modifier manuellement les valeurs de la ruche de registre privée, vous pouvez utiliser regedit.exe pour charger une ruche privée. Vous devez sélectionner le nœud HKEY_USERS et cliquer sur le menu Fichier> Charger la ruche…. Vous sélectionnez le fichier privateregistry.bin, donnez un nom à la ruche (j'ai entré «VS2017PrivateRegistry») et maintenant vous pouvez voir la clé 15.0_Config remplie comme d'habitude (remarque: utilisez Fichier> Décharger la ruche une fois terminé):

capture d'écran

Pour modifier les valeurs dans la ruche de registre privée par programme, vous devez soit créer une extension pour VS, soit utiliser un fichier exe externe pour utiliser la fonction RegLoadAppKey ou éviter d'utiliser directement le registre et d'utiliser le Gestionnaire des paramètres externes. Consultez la section «Modifier: réduire l'impact du Registre» dans Extensions de rupture dans Visual Studio 2017.

N'oubliez pas de décharger la ruche dans regedit avant de démarrer l'application en l'utilisant.

Maxime
la source