Sysinternals Procmon günlüğündeki '\ REGISTRY \ A \…' yolu ne anlama geliyor?

22

Bazı programların kayıt defteri erişimini izlemek için Sysinternals Procmon yardımcı programını kullanıyorum. Çoğu günlük girişleri Yol mülkiyet başlayarak var HKCU\…ya HKLM\…kayıt defteri kovanları karşılık geldiğini, HKEY_CURRENT_USERve HKEY_LOCAL_MACHINEgörülebilir Regedit kullanarak. Ancak bazı girdiler şu yoldan başlıyor \REGISTRY\A\…:

resim açıklamasını buraya girin

Kayıt defterinin hangi kısmı olduğunu açıklar mısınız? Regedit veya başka bir yardımcı program kullanarak görebilir miyim? Programlı olarak erişebilir miyim?

Ben koşuyorum , Windows 8.1 Enterprise x64 .

GÜNCELLEME: Procmon geliştiricileriyle iletişim kurdum ve beni bu soruyu kapsayan aşağıdaki MSDN kaynaklarına yönlendirdiler:

— Vladimir Reshetnikov
kaynak

2

İlgili bir soru: stackoverflow.com/questions/4611291/…

— Vladimir Reshetnikov

Birini sağ tıklayıp Git'i seçmeyi denediniz mi?

— Synetech

Evet, ancak ilgisiz bir anahtara atlar.

— Vladimir Reshetnikov

İlgisiz olduğundan emin misiniz? Benzer bir anahtara mı yoksa tamamen farklı bir anahtara mı atladığını görmek için benzer bir anahtara atlamayı denediniz mi? Örneğin, eğer registry\a\foobar\1zıplar hkcu\software\blah\aama registry\a\foobar\2zıplarsa hklm\software\microsoft\internet explorer, o zaman ilgisiz gibi görünürler, ancak ikincisi zıplarsa hkcu\software\blah\b, bir şekilde ilişkili gibi görünürler ; bir tür haritalama var.

— Synetech

Hmm, tam olarak ne olduğunu nasıl bulabileceğini biliyorum, ama test edebileceğim yarın sabaha (benim zamanım) kadar beklemek zorunda kalacak…

— Synetech

7

Öyle başvuru kovan hiçbir adıyla volatilty görülebilir,! uygulama kovanları, uygulamaya özgü durum verilerini depolamak için kullanıcı modu uygulamaları tarafından yüklenen kayıt kovanlarıdır. Bir uygulama, bir uygulama kovanını yüklemek için RegLoadAppKey işlevini çağırır.

hakkında daha fazla bilgi

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

— abs2run
kaynak

1

Bu verileri tamamen düzenlemek veya silmek mümkün müdür?

— Maxim

5

Sysinternals Procmon günlüğündeki '\ REGISTRY \ A \…' yolu ne anlama geliyor? Kayıt defterinin hangi kısmı olduğunu açıklar mısınız? Regedit veya başka bir yardımcı program kullanarak görebilir miyim? Programlı olarak erişebilir miyim?

Sistemimde gördüklerinizi çoğaltamam, ama size ait olanı nasıl bulabileceğinizi söyleyebilirim. Şu anda herhangi bir ad altında (sistem genelindeki kovanlar, şu anda oturum açmış olan kullanıcılar için kullanıcı kovanları ve manuel veya yazılım tarafından yüklenen kovanlar dahil) tüm kayıt defteri kovanlarının bir listesini aşağıdaki kayıt defteri anahtarında görebilirsiniz. Hem dahili kayıt defteri yolunu hem de kovan dosyasının yolunu gösterecektir (şekil 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Belirli bir örneği tarafından hangi hizmetlerin barındırıldığını görmek için bu komutu kullanabilirsiniz svchost.exe. Ekran görüntünüzün zamanında kullandığı pid'i (1240) kullandım; mevcut PID ile değiştirin.

tasklist /svc /fi "pid eq 1240"

Şekil 1 : Monte edilmiş kayıt defteri kovanlarını gösteren hivelist anahtarla birlikte kayıt defteri düzenleyicisinin ekran görüntüsü

Hivelist tuşun vurgulanmış olduğu kayıt defteri düzenleyicisinin ekran görüntüsü

— Synetech
kaynak

2

\REGISTRY\Ahivelistanahtarda listelenmemiş . Cevap @ abs2run genel doğru cevaptır.

— Eryk Sun

1

Hakkında bilgi hivelistilginç ve yararlı olsa da, bu açıklamasa da \REGISTRY\A.

— binki

5

\REGISTRY\AWindows Mağazası uygulamaları (Metro tarzı uygulamalar olarak da bilinir) tarafından kullanılmak üzere gizli bir kayıt defteri kovanıdır .

— Piotr Shatalin
kaynak

2

Birkaç sorun: • Bu soru , söz konusu kayıt defteri kovanına sahip ancak Windows 7'de , bu yüzden Windows uygulamalarına bağlı gibi görünmüyor. • Doğru olsanız bile, Windows uygulamaları tam olarak ne ve nasıl kullanır; yani, normal kayıt defterinin ne sağlamaz? • Bağlandığınız Wikipedia sayfası kayıt defterinden hiç bahsetmiyor, bu nedenle söylediklerinizi doğrulamak veya hakkında bilgi edinmek için hiçbir yolumuz yok.

— Aralık'ta Synetech

Win10'da, bir procmon önyükleme günlüğü yaparsanız ve "yol \ kayıt defteri \ a" ve "işlem regloadkey ise" filtresini kullanırsanız, ayrıntılarda "kovan yolu: system32 \ config \ BBI" ve birçok "kovan yolunu görürsünüz. : activationstore.dat "önyükleme sırasında Windows uygulamaları için işlenen dosyalar. Bazen dcomlaunch hizmeti, kullanıcı sayısına bağlı olarak BBI kovanıyla uzun sürebilir.

— js2010

4

Yorumlarda kendi sorumu cevaplamam gerekiyor.

Özel kovanı düzenlemek için daha önce yüklenmesi gerekir.

Visual Studio için şu şekilde yapılabilir:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

VS 2017'nin izolasyonunu ve direncini arttırmak, şimdi özel bir kayıt defteri kovanı kullanıyor. Dahili olarak VS bir yönlendirme kullanır ve VS uzantıları (dll'ler) için bu şeffaftır, harici işlemler için (exes), bu çalışmalarına neden olur.

Özel kayıt defteri kovanındaki değerleri el ile değiştirmek için, özel bir kovan yüklemek üzere regedit.exe'yi kullanabilirsiniz. HKEY_USERS düğümünü seçmeniz ve Dosya> Yığını Yükle… menüsünü tıklamanız gerekir. Privateregistry.bin dosyasını seçin, kovana bir ad verin (“VS2017PrivateRegistry” girdim) ve artık her zamanki gibi doldurulmuş 15.0_Config anahtarını görebilirsiniz (not: Dosya> Yığını Kaldır seçeneğini kullanın):

Özel kayıt defteri kovanındaki değerleri programsal olarak değiştirmek için, VS için bir uzantı oluşturmanız veya harici bir exe kullanmak istiyorsanız RegLoadAppKey işlevini kullanmanız veya kayıt defterini doğrudan kullanmaktan ve Harici Ayarlar Yöneticisi'ni kullanmanız gerekir. Visual Studio 2017 genişletilebilirliğinde Değişiklikleri Kırma bölümündeki “Değişiklik: Kayıt defteri etkisini azaltma” bölümüne bakın.

Kullanmaya başlamadan önce kovanı regeditte boşaltmayı unutmayın.

— özdeyiş
kaynak