¿Qué significa la ruta '\ REGISTRO \ A \ ...' en el registro de Sysinternals Procmon?

22

Utilizo la utilidad Sysinternals Procmon para monitorear el acceso al registro de algunos programas. La mayoría de las entradas de registro tienen la propiedad Ruta a partir de HKCU\…o HKLM\…, que corresponde a las colmenas del registro HKEY_CURRENT_USERy HKEY_LOCAL_MACHINEque se puede ver con Regedit. Pero algunas entradas tienen la ruta a partir de \REGISTRY\A\…:

ingrese la descripción de la imagen aquí

¿Podría explicar qué parte del registro es? ¿Puedo verlo usando Regedit o alguna otra utilidad? ¿Puedo acceder a él mediante programación?

Estoy ejecutando Windows 8.1 Enterprise x64 .

ACTUALIZACIÓN: Me puse en contacto con los desarrolladores de Procmon y me indicaron los siguientes recursos de MSDN que cubren esta pregunta:

windows-registry regedit sysinternals procmon Vladimir Reshetnikov
fuente
2
Una pregunta relacionada: stackoverflow.com/questions/4611291/…
Vladimir Reshetnikov
¿Intentaste hacer clic derecho en uno y seleccionar Saltar a ?
Synetech
Sí, pero salta a una clave no relacionada.
Vladimir Reshetnikov
¿Estás seguro de que no está relacionado? ¿Intentó usar saltar a una tecla similar para ver si salta a una tecla similar o a una tecla completamente diferente? Por ejemplo, si registry\a\foobar\1salta a, hkcu\software\blah\apero registry\a\foobar\2salta a hklm\software\microsoft\internet explorer, entonces parecen no estar relacionados, pero si el segundo salta a hkcu\software\blah\b, entonces parecen estar relacionados de alguna manera ; Hay algún tipo de mapeo.
Synetech
Hmm, creo que sé cómo puedes averiguar exactamente qué es, pero tendrá que esperar hasta mañana por la mañana (mi hora) cuando pueda probarlo ...
Synetech

Respuestas:

7

¡Es una colmena de aplicaciones , que se puede ver en volatilidad sin nombre! Las colmenas de aplicación son colmenas de registro cargadas por aplicaciones en modo de usuario para almacenar datos de estado específicos de la aplicación. Una aplicación llama a la función RegLoadAppKey para cargar una sección de la aplicación.

más información sobre

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

abs2run
fuente
1
¿Es posible editar o eliminar estos datos por completo?
Maxim
5

¿Qué significa la ruta '\ REGISTRO \ A \ ...' en el registro de Sysinternals Procmon? ¿Podría explicar qué parte del registro es? ¿Puedo verlo usando Regedit o alguna otra utilidad? ¿Puedo acceder a él mediante programación?

No puedo reproducir lo que está viendo en mi sistema, pero puedo decirle cómo puede averiguar qué hay en el suyo. Puede ver una lista de todas las colmenas de registro que se montan actualmente bajo cualquier nombre (incluidas las colmenas de todo el sistema, las colmenas de usuarios para los usuarios que actualmente están conectados y cualquier colmena cargada manualmente o por software) en la siguiente clave de registro. Mostrará la ruta de registro interna y la ruta al archivo de la sección (figura 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Puede usar este comando para ver qué servicios aloja la instancia específica de svchost.exe. He usado el pid (1240) que estaba usando en el momento de su captura de pantalla; reemplácelo con el PID actual.

tasklist /svc /fi "pid eq 1240"

Figura 1 : captura de pantalla del editor de registro con la clave de lista de colmena resaltada, que muestra colmenas de registro montadas

Captura de pantalla del editor de registro con la clave hivelist resaltada

Synetech
fuente
2
\REGISTRY\Ano aparece en la hivelistclave. La respuesta de @ abs2run es la respuesta correcta en general.
Eryk dom
1
Aunque la información sobre hivelistes interesante y útil, aunque esto no explica \REGISTRY\A.
binki
5

\REGISTRY\Aes una sección de registro oculta para uso de las aplicaciones de la Tienda Windows (también conocidas como aplicaciones de estilo Metro).

Piotr Shatalin
fuente
2
Algunos problemas: • Esta pregunta tiene la sección de registro en cuestión pero está en Windows 7 , por lo que no parece que esté conectada a las aplicaciones de Windows. • Incluso si tiene razón, qué y cómo lo usan exactamente las aplicaciones de Windows; es decir, ¿qué proporciona que no haga el registro regular? • La página de Wikipedia a la que se vinculó no menciona el registro en absoluto, por lo que no tenemos forma de confirmar lo que dijo o aprender al respecto.
Synetech
En win10, si hace un registro de arranque procmon y filtra en "ruta contiene \ registro \ a" y "la operación es regloadkey", en detalles verá "ruta de la colmena: system32 \ config \ BBI" y muchas "rutas de la colmena" : activationstore.dat "archivos procesados ​​para aplicaciones de Windows durante el arranque. A veces, el servicio dcomlaunch tarda mucho tiempo con la colmena BBI, dependiendo de la cantidad de usuarios.
js2010
4

Necesito responder a mi propia pregunta en los comentarios.

Para editar la colmena privada, debe cargarse antes.

Para Visual Studio se puede hacer de esta manera:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Al aumentar el aislamiento y la resistencia de VS 2017, ahora utiliza una colmena de registro privada. Internamente, VS utiliza una redirección y, mientras que para las extensiones de VS (que son dlls) esto es transparente, para los procesos externos (que son exes), esto hace que no funcionen.

Para cambiar los valores en la sección del registro privado a mano, puede usar regedit.exe para cargar una sección privada. Debe seleccionar el nodo HKEY_USERS y hacer clic en el menú Archivo> Cargar sección ... Seleccione el archivo privateregistry.bin, asigne un nombre a la colmena (ingresé "VS2017PrivateRegistry") y ahora puede ver la clave 15.0_Config rellenada como de costumbre (nota: use Archivo> Descargar Hive cuando haya terminado):

captura de pantalla

Para cambiar los valores en la sección del registro privado mediante programación, debe crear una extensión para VS o si desea usar un exe externo, debe usar la función RegLoadAppKey o evitar usar el registro directamente y usar el Administrador de configuración externa. Consulte la sección "Cambio: reducir el impacto del registro" en Cambios de última hora en la extensibilidad de Visual Studio 2017.

No olvide descargar la colmena en regedit antes de comenzar a usarla.

Máxima
fuente