Sysinternals Procmon 로그에서 '\ REGISTRY \ A \…'경로는 무엇을 의미합니까?

22

Sysinternals Procmon 유틸리티를 사용하여 일부 프로그램의 레지스트리 액세스를 모니터링합니다. 대부분의 로그 항목은 경로 속성부터 시작해야 HKCU\…또는 HKLM\…레지스트리 하이브에 해당하는, HKEY_CURRENT_USER그리고 HKEY_LOCAL_MACHINE그 볼 수는 Regedit를 사용하여. 그러나 일부 항목의 경로는 \REGISTRY\A\…다음 과 같습니다.

여기에 이미지 설명을 입력하십시오

레지스트리의 어떤 부분인지 설명해 주시겠습니까? Regedit 또는 다른 유틸리티를 사용하여 볼 수 있습니까? 프로그래밍 방식으로 액세스 할 수 있습니까?

Windows 8.1 Enterprise x64를 실행하고 있습니다.

업데이트 : Procmon 개발자에게 연락 하여이 질문을 다루는 다음 MSDN 리소스를 알려주었습니다.

— 블라디미르 레 셰니 코프
소스

2

관련 질문 : stackoverflow.com/questions/4611291/…

— Vladimir Reshetnikov

하나를 마우스 오른쪽 버튼으로 클릭하고 이동을 선택 했습니까 ?

— Synetech

예, 그러나 관련이없는 키로 이동합니다.

— Vladimir Reshetnikov

관련이 없습니까? 유사한 키로 이동하여 비슷한 키로 이동하는지 또는 완전히 다른 키로 이동했는지 확인 했습니까? 예를 들어으로 registry\a\foobar\1이동 hkcu\software\blah\a하지만으로 registry\a\foobar\2이동하면 hklm\software\microsoft\internet explorer관련이없는 것처럼 보이지만 두 번째로 이동하면 어떤 방식 으로든hkcu\software\blah\b 관련이있는 것 같습니다 . 어떤 종류의 매핑이 있습니다.

— Synetech

흠, 나는 그것이 무엇인지 정확히 알 수 있다고 생각하지만, 그것을 테스트 할 수있는 내일 아침 (내 시간)까지 기다려야 할 것입니다…

— Synetech

7

그것은이다 애플리케이션 하이브 어떤 이름으로 volatilty에서 볼 수 있습니다! 복제 하이브는 응용 프로그램 별 상태 데이터를 저장하기 위해 사용자 모드 응용 프로그램에서로드 한 레지스트리 하이브입니다. 응용 프로그램은 RegLoadAppKey 함수를 호출하여 응용 프로그램 하이브를로드합니다.

더 많은 정보

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

— abs2run
소스

1

이 데이터를 완전히 편집하거나 삭제할 수 있습니까?

— Maxim

5

Sysinternals Procmon 로그에서 '\ REGISTRY \ A \…'경로는 무엇을 의미합니까? 레지스트리의 어떤 부분인지 설명해 주시겠습니까? Regedit 또는 다른 유틸리티를 사용하여 볼 수 있습니까? 프로그래밍 방식으로 액세스 할 수 있습니까?

시스템에서보고있는 내용을 재현 할 수 없지만 시스템에서 무엇을 찾을 수 있는지 알려줄 수 있습니다. 다음 레지스트리 키에서 현재 이름 (시스템 전체 하이브, 현재 로그온 한 사용자의 사용자 하이브 및 수동 또는 소프트웨어로로드 된 하이브 포함)으로 마운트 된 모든 레지스트리 하이브 목록을 볼 수 있습니다. 내부 레지스트리 경로와 하이브 파일 경로가 모두 표시됩니다 (그림 1).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

이 명령을 사용하여의 특정 인스턴스에서 호스팅중인 서비스를 확인할 수 있습니다 svchost.exe. 스크린 샷 당시에 사용했던 pid (1240)를 사용했습니다. 현재 PID로 교체하십시오.

tasklist /svc /fi "pid eq 1240"

그림 1 : 마운트 된 레지스트리 하이브를 보여주는 하이브리스트 키가 강조 표시된 레지스트리 편집기의 스크린 샷

하이브리스트 키가 강조 표시된 레지스트리 편집기의 스크린 샷

— 시네 테크
소스

2

\REGISTRY\Ahivelist키에 표시되지 않습니다 . 대답 @의 abs2run에서 일반에 올바른 답이다.

— Eryk Sun

1

에 대한 정보 hivelist는 흥미롭고 유용하지만 설명하지는 않지만 \REGISTRY\A.

— binki

5

\REGISTRY\AWindows 스토어 앱 (일명 Metro 스타일 앱) 에서 사용하기위한 숨겨진 레지스트리 하이브입니다 .

— 피오트르 샤 탈린
소스

2

몇 가지 문제 : • 이 질문 에는 문제 가있는 레지스트리 하이브가 있지만 Windows 7 에 있으므로 Windows 앱에 연결된 것처럼 보이지 않습니다. • 귀하가 정확하더라도 Windows 앱이 무엇을 어떻게 정확하게 사용하는지; 즉, 일반 레지스트리가 제공하지 않는 것은 무엇입니까? • 귀하가 링크 한 Wikipedia 페이지에는 레지스트리가 전혀 언급되어 있지 않으므로 귀하가 말한 내용을 확인하거나 배울 방법이 없습니다.

— Synetech

win10에서 procmon 부트 로그를 수행하고 "path contains \ registry \ a"및 "operation is regloadkey"를 필터링하면 "hive 경로 : system32 \ config \ BBI"및 많은 "hive 경로가 표시됩니다. : activationstore.dat "파일은 부팅 중에 Windows 앱에서 처리됩니다. 때때로 dcomlaunch 서비스는 사용자 수에 따라 BBI 하이브와 함께 오랜 시간이 걸립니다.

— js2010

4

의견에 내 자신의 질문에 대답해야합니다.

개인 하이브를 편집하려면 먼저로드해야합니다.

Visual Studio의 경우 다음과 같이 만들 수 있습니다.

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

VS 2017의 격리 및 복원력이 향상되어 개인 레지스트리 하이브가 사용됩니다. 내부적으로 VS는 리디렉션을 사용하고 VS 확장 (dll)은 외부 프로세스 (exes)에 대해 투명하지만 작동하지 않습니다.

개인 레지스트리 하이브의 값을 직접 변경하려면 regedit.exe를 사용하여 개인 하이브를로드 할 수 있습니다. HKEY_USERS 노드를 선택하고 파일> 하이브로드… 메뉴를 클릭하십시오. privateregistry.bin 파일을 선택하고 하이브에 이름을 지정하면 (“VS2017PrivateRegistry”를 입력) 이제 평소처럼 채워진 15.0_Config 키를 볼 수 있습니다 (참고 : 파일> 하이브 언로드 사용).

프로그래밍 방식으로 개인 레지스트리 하이브의 값을 변경하려면 VS 확장을 빌드하거나 외부 exe를 사용하려면 RegLoadAppKey 함수를 사용하거나 레지스트리를 직접 사용하지 말고 외부 설정 관리자를 사용해야합니다. Visual Studio 2017 확장 성의 주요 변경 사항에서 "변경 : 레지스트리 영향 감소"섹션을 참조하십시오.

하이브를 사용하여 응용 프로그램을 시작하기 전에 regedit에서 하이브를 언로드하는 것을 잊지 마십시오.

— 격언
소스