Sysinternals Procmon 日志中的路径“\REGISTRY\A\...”是什么意思？

Question

我使用 Sysinternals Procmon 实用程序来监视某些程序对注册表的访问。大多数日志条目都有从HKCU\…或开始的 Path 属性HKLM\…，它对应于注册表配置单元HKEY_CURRENT_USER并且HKEY_LOCAL_MACHINE可以使用 Regedit 看到。但有些条目的路径从\REGISTRY\A\…：

你能解释一下它是注册表的哪一部分吗？我可以使用 Regedit 或其他一些实用程序查看它吗？我可以以编程方式访问它吗？

我正在运行Windows 8.1 Enterprise x64。

---

更新：我已经联系了 Procmon 开发人员，他们向我指出了以下涵盖此问题的 MSDN 资源：

• 在 Application Hive 上过滤注册表操作
• RegLoadAppKey 函数

Answer 1

就是application hive，在没有名字的波动中可以看到！应用程序配置单元是由用户模式应用程序加载的注册表配置单元，用于存储特定于应用程序的状态数据。应用程序调用 RegLoadAppKey 函数来加载应用程序配置单元。

更多信息

http://msdn.microsoft.com/en-us/library/windows/hardware/jj673019%28v=vs.85%29.aspx

Answer 2

Sysinternals Procmon 日志中的路径“\REGISTRY\A\...”是什么意思？你能解释一下它是注册表的哪一部分吗？我可以使用 Regedit 或其他一些实用程序查看它吗？我可以以编程方式访问它吗？

我无法重现您在我的系统上看到的内容，但我可以告诉您如何在您的系统上找到它。您可以在以下注册表项中看到当前以任何名称安装的所有注册表配置单元的列表（包括系统范围的配置单元、当前登录用户的用户配置单元以及手动或通过软件加载的任何配置单元）。它将显示内部注册表路径和 hive 文件的路径（图 1）。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

您可以使用此命令查看svchost.exe. 我使用了截屏时使用的 pid (1240)；将其替换为当前的 PID。

tasklist /svc /fi "pid eq 1240"

图 1：突出显示配置单元列表键的注册表编辑器屏幕截图，显示已安装的注册表配置单元

Answer 3

\REGISTRY\A是供Windows 应用商店应用（又名 Metro 风格应用）使用的隐藏注册表配置单元。

Answer 4

我需要在评论中回答我自己的问题。

要编辑私有配置单元，应该先加载它。

对于 Visual Studio，可以这样制作：

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f636ee47-1eb7-45ed-ae2a-674cbabb8b2c/clear-mru-list-in-visual-studio-2017?forum=visualstudiogeneral

增加了 VS 2017 的隔离性和弹性，它现在使用私有注册表配置单元。VS 在内部使用重定向，而对于 VS 扩展（即 dll），这是透明的，对于外部进程（即 exe），这会导致它们无法工作。

要手动更改私有注册表配置单元中的值，您可以使用 regedit.exe 加载私有配置单元。您需要选择 HKEY_USERS 节点，然后单击 File > Load Hive... 菜单。您选择 privateregistry.bin 文件，为 hive 命名（我输入了“VS2017PrivateRegistry”），现在您可以看到像往常一样填充的 15.0_Config 键（注意：完成后使用 File > Unload Hive）：

要以编程方式更改私有注册表配置单元中的值，您需要为 VS 构建扩展，或者如果您想使用外部 exe，您需要使用 RegLoadAppKey 函数或避免直接使用注册表并使用外部设置管理器。请参阅 Visual Studio 2017 可扩展性中的重大更改中的“更改：减少注册表影响”部分。

在开始使用它的应用程序之前，不要忘记在 regedit 中卸载 hive。