Я использую утилиту Sysinternals Procmon для контроля доступа к реестру некоторыми программами. Большинство записей журнала имеют свойство Path, начинающееся с HKCU\…
или HKLM\…
, соответствующее кустам реестра, HKEY_CURRENT_USER
и HKEY_LOCAL_MACHINE
это можно увидеть с помощью Regedit. Но у некоторых записей есть Путь, начинающийся с \REGISTRY\A\…
:
Не могли бы вы объяснить, что это за реестр? Могу ли я увидеть это с помощью Regedit или другой утилиты? Могу ли я получить к нему доступ программно?
Я использую Windows 8.1 Enterprise x64 .
ОБНОВЛЕНИЕ: Я связался с разработчиками Procmon, и они указали мне на следующие ресурсы MSDN, посвященные этому вопросу:
windows-registry
regedit
sysinternals
procmon
Владимир Решетников
источник
источник
registry\a\foobar\1
прыгает,hkcu\software\blah\a
ноregistry\a\foobar\2
прыгаетhklm\software\microsoft\internet explorer
, то они кажутся несвязанными, но если второй прыгаетhkcu\software\blah\b
, то, похоже, они каким-то образом связаны ; есть какое-то отображение.Ответы:
Это улей приложения , который можно увидеть в волатильности без названия! Ульи приложения - это кусты реестра, загружаемые приложениями пользовательского режима для хранения данных о состоянии приложения. Приложение вызывает функцию RegLoadAppKey для загрузки куста приложения.
больше информации о
http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx
источник
Я не могу воспроизвести то, что вы видите в моей системе, но я могу рассказать вам, как вы можете узнать, что у вас есть. Вы можете увидеть список всех кустов реестра, которые в настоящее время смонтированы под любым именем (включая кусты всей системы, кусты пользователей для пользователей, которые в данный момент вошли в систему, и любые кусты, загруженные вручную или программным обеспечением) в следующем разделе реестра. Он покажет как внутренний путь реестра, так и путь к файлу куста (рисунок 1).
Вы можете использовать эту команду, чтобы увидеть, какие службы размещены конкретным экземпляром
svchost.exe
. Я использовал pid (1240), который он использовал во время скриншота; замените его текущим PID.Рисунок 1 : Снимок экрана редактора реестра с выделенным ключом списка кустов, показывающий подключенные кусты реестра
источник
\REGISTRY\A
не указан вhivelist
ключе. Ответ от @ abs2run правильный ответ в целом.hivelist
интересна и полезна, хотя это не объясняет\REGISTRY\A
.\REGISTRY\A
скрытый куст реестра, используемый приложениями из Магазина Windows (или приложения в стиле Metro).источник
Мне нужно ответить на свой вопрос в комментариях.
Чтобы редактировать частный улей, он должен быть загружен раньше.
Для Visual Studio это можно сделать так:
https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral
Не забудьте выгрузить улей в regedit перед тем, как запускать приложение, используя его.
источник