O que significa o caminho '\ REGISTRY \ A \…' no log do Sysinternals Procmon?

Eu uso o utilitário Sysinternals Procmon para monitorar o acesso ao registro por alguns programas. A maioria das entradas de log tem a propriedade Path iniciada em HKCU\…ou HKLM\…, que corresponde às seções do registro HKEY_CURRENT_USERe HKEY_LOCAL_MACHINEque pode ser vista usando o Regedit. Mas algumas entradas têm o caminho a partir de \REGISTRY\A\…:

Você poderia explicar qual é a parte do registro? Posso vê-lo usando o Regedit ou algum outro utilitário? Posso acessá-lo programaticamente?

Estou executando o Windows 8.1 Enterprise x64 .

ATUALIZAÇÃO: Entrei em contato com os desenvolvedores do Procmon e eles me indicaram os seguintes recursos do MSDN que cobrem esta pergunta:

• Filtrando operações do Registro em seções de aplicativos
• Função RegLoadAppKey

É uma seção de aplicativos , que pode ser vista na volatilidade sem nome! seções de aplicação são seções de registro carregadas por aplicativos no modo de usuário para armazenar dados de estado específicos do aplicativo. Um aplicativo chama a função RegLoadAppKey para carregar uma seção de aplicativo.

mais informações sobre

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

O que significa o caminho '\ REGISTRY \ A \…' no log do Sysinternals Procmon? Você poderia explicar qual é a parte do registro? Posso vê-lo usando o Regedit ou algum outro utilitário? Posso acessá-lo programaticamente?

Não consigo reproduzir o que você está vendo no meu sistema, mas posso lhe dizer como você pode descobrir o que está no seu. Você pode ver uma lista de todas as seções do Registro atualmente montadas sob qualquer nome (incluindo seções do sistema, seções do usuário para usuários que estão conectados no momento e seções carregadas manualmente ou pelo software) na seguinte chave do Registro. Ele mostrará o caminho do registro interno e o caminho para o arquivo da seção (figura 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Você pode usar este comando para ver quais serviços estão sendo hospedados pela instância específica de svchost.exe. Eu usei o pid (1240) que ele estava usando no momento da sua captura de tela; substitua-o pelo PID atual.

tasklist /svc /fi "pid eq 1240"

Figura 1 : Captura de tela do editor de registro com a chave da linha de destaque destacada, mostrando as seções de registro montadas

\REGISTRY\Aé uma seção de registro oculta para uso dos aplicativos da Windows Store (também conhecidos como aplicativos estilo Metro).

Eu preciso responder à minha própria pergunta nos comentários.

Para editar uma seção particular, ela deve ser carregada antes.

Para o Visual Studio, isso pode ser feito da seguinte maneira:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

Para aumentar o isolamento e a resiliência do VS 2017, ele agora usa uma seção de registro privada. Internamente, o VS usa um redirecionamento e, embora para extensões do VS (que são dlls) isso seja transparente, para processos externos (que são exes), isso faz com que eles não funcionem.

Para alterar os valores na seção particular do registro manualmente, você pode usar o regedit.exe para carregar uma seção particular. Você precisa selecionar o nó HKEY_USERS e clicar no menu Arquivo> Carregar seção…. Você seleciona o arquivo privateregistry.bin, nomeia a seção (digitei “VS2017PrivateRegistry”) e agora você pode ver a chave 15.0_Config preenchida como de costume (nota: use Arquivo> Descarregar seção quando terminar):

Para alterar valores na seção de registro privada programaticamente, é necessário criar uma extensão para o VS ou se você deseja usar um exe externo, precisa usar a função RegLoadAppKey ou evitar usar o registro diretamente e usar o Gerenciador de configurações externas. Consulte a seção “Alteração: reduza o impacto do registro” em Quebrando alterações na extensibilidade do Visual Studio 2017.

Não se esqueça de descarregar a seção no regedit antes de iniciar o aplicativo.