Sysinternals Procmonログのパス '\ REGISTRY \ A \…'はどういう意味ですか？

19

Sysinternals Procmonユーティリティを使用して、いくつかのプログラムによるレジストリアクセスを監視します。ほとんどのログエントリは、から始まるPathプロパティを持ちます。 HKCU\… または HKLM\…これはレジストリハイブに対応します HKEY_CURRENT_USER そして HKEY_LOCAL_MACHINE それはRegeditを使って見ることができます。しかしいくつかのエントリはから始まるパスを持っています \REGISTRY\A\…：

enter image description here

あなたはそれがレジストリのどの部分であるか説明してもらえますか？ Regeditや他のユーティリティを使って見ることができますか？プログラムでアクセスできますか？

私は走っています Windows 8.1エンタープライズx 64 。

更新日：私はProcmonの開発者に連絡しました、そして彼らはこの質問をカバーしている以下のMSDNリソースを私に指摘しました：

— Vladimir Reshetnikov
ソース

2

関連する質問 stackoverflow.com/questions/4611291/…

— Vladimir Reshetnikov

右クリックして選択してみましたか にジャンプ ？

— Synetech

はい、それは無関係のキーにジャンプします。

— Vladimir Reshetnikov

無関係ですか？類似のキーにジャンプするのか、それともまったく異なるキーにジャンプするのかを確認するために、類似のキーへのジャンプ先を使用してみましたか？例えば、 registry\a\foobar\1 にジャンプ hkcu\software\blah\a しかし registry\a\foobar\2 にジャンプ hklm\software\microsoft\internet explorerそれから、それらは無関係であるように思われます、しかし2番目のものがへジャンプ hkcu\software\blah\bそれから、彼らはに関連しているようです なんとなく ;ある種のマッピングがあります。

— Synetech

うーん、私はあなたがそれが何であるかを正確に見つけることができる方法を知っていると思います、しかしそれは私がそれをテストすることができるときまで明日（私の時間）まで待たなければならないでしょう…

— Synetech

6

それは アプリケーションハイブ これは名前では見られません。アプリケーションハイブは、アプリケーション固有の状態データを格納するためにユーザーモードアプリケーションによってロードされるレジストリハイブです。アプリケーションがRegLoadAppKey関数を呼び出してアプリケーションハイブをロードします。

より詳しい情報

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

— abs2run
ソース

1

このデータを完全に編集または削除することは可能ですか？

— Maxim

5

\REGISTRY\A によって使用される隠しレジストリハイブです。 Windowsストアアプリ（別名メトロスタイルアプリ）。

— Piotr Shatalin
ソース

2

いくつかの問題：この質問問題のレジストリハイブがあるがオンになっている Windows 7 そのため、Windowsアプリに接続されているようには見えません。 •たとえあなたが正しいとしても、Windowsアプリはそれをどのようにそしてどのように正確に使用しているか。つまり、通常のレジストリでは提供されないということです。 •あなたがリンクしているウィキペディアのページはレジストリについては全く言及していないので、あなたが言ったことを確認したり、それについて学ぶことはできません。

— Synetech

win10でprocmonブートログを作成し、 "path contains \ registry \ a"と "operation is regloadkey"でフィルタリングすると、 "hive path：system32 \ config \ BBI"とたくさんの "hive path"が表示されます。：activationstore.dat "ファイルは、起動中にWindowsアプリケーション用に処理されます。ユーザーの数によっては、dcomlaunchサービスがBBIハイブで長時間かかることがあります。

— js2010

4

Sysinternals Procmonログのパス '\ REGISTRY \ A \…'はどういう意味ですか？あなたはそれがレジストリのどの部分であるか説明してもらえますか？ Regeditや他のユーティリティを使って見ることができますか？プログラムでアクセスできますか？

私のシステムであなたが見ているものを再現することはできませんが、それがあなたのシステム上で何がわかるのかをあなたに伝えることができます。次のレジストリキーで、現在任意の名前でマウントされているすべてのレジストリハイブ（システム全体のハイブ、現在ログオンしているユーザーのユーザーハイブ、手動またはソフトウェアによって読み込まれたハイブを含む）の一覧を表示できます。内部レジストリパスとハイブファイルへのパスの両方が表示されます（図1）。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

このコマンドを使用して、どのサービスがの特定のインスタンスによってホストされているかを確認できます。 svchost.exe。スクリーンショットのときに使用していたpid（1240）を使用しました。現在のPIDに置き換えます。

tasklist /svc /fi "pid eq 1240"

図1 ：ハイブリストキーがハイライト表示され、マウントされたレジストリハイブが表示されたレジストリエディタのスクリーンショット

Screenshot of registry-editor with hivelist key highlighted

— Synetech
ソース

2

\REGISTRY\A に記載されていません hivelist キー。の回答一般に@ abs2runからが正解です。

— eryksun

1

についての情報が hivelist これは説明していないにもかかわらず、面白いと便利です \REGISTRY\A。

— binki

1

私は自分の質問にコメントで答える必要があります。

プライベートハイブを編集するには、事前にロードしておく必要があります。

Visual Studioでは、このようにすることができます。

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

VS 2017の分離性と回復力を高めるために、今では   プライベートレジストリハイブ内部的には、VSはリダイレクトを使用します。   VSの拡張機能（これはDLLです）これは、外部のために、透明です   プロセス（つまりexes）、これはそれらが機能しない原因となります。

プライベートレジストリハイブの値を手動で変更するには、次のようにします。   プライベートハイブをロードするためのregedit.exe。 HKEY_USERSを選択する必要があります   ノードをクリックし、ファイル＆gt;をクリックします。ハイブをロード…メニュー。あなたが選択します   privateregistry.binファイルで、ハイブに名前を付けます   「VS2017PrivateRegistry」）をクリックすると、15.0_Configキーを確認できます。   通常どおりに入力されます（注：[ファイル]＆gt; [アンロードハイブ]を選択した場合）

プライベートレジストリハイブの値をプログラムで変更するには   VS用のエクステンションを作成するか、または   あなたがRegLoadAppKey機能を使用するか、または使用を避ける必要がある外部のexeファイル   レジストリに直接アクセスし、外部設定マネージャを使用します。を参照してください   「変更点：レジストリへの影響を減らす」の「ビジュアルでの変更点の変更」   Studio 2017の拡張性

それを使用してアプリケーションを起動する前にregeditでハイブをアンロードすることを忘れないでください。

— Maxim
ソース