神秘的本机“A”注册表项，路径为：Registry\A

Posted 2023-02-25

【中文标题】神秘的本机“A”注册表项，路径为：Registry\\A

【英文标题】：Mysterious, Native "A" Registry Key with Path: Registry\A神秘的本机“A”注册表项，路径为：Registry\A

【发布时间】：2011-06-04 10:06:32

【问题描述】：

我最近为 Windows 编写了一个原生 NT 注册表编辑器，并在 Windows 7 上运行它。令我惊讶的是，除了 Windows XP 上存在的两个标准根密钥 MACHINE 和 USER 之外，还有一个神秘的名为“A”的密钥，无法以任何方式打开，无论是通过权限更改还是备份权限或其他方式：

有人知道这把钥匙是干什么用的吗？我不相信它适用于任何软件，因为它在我在机器上安装任何东西之前就已经存在，而且我相信我在另一个全新安装中也看到了它。它非常可疑，我很好奇它为什么在那里。 （如果我足够好奇，我可能最终会编写一个驱动程序来打开它而不进行权限检查，看看会发生什么！）

（我不确定是把它放在 SuperUser 还是 *** 上，因为我认为它可以放在任何一个中。不过，我可能是错的；如果这不是合适的地方，抱歉。）

编辑：

如果忘了说，我不相信你甚至可以使用 Win32 API 看到这个密钥，比如RegOpenKey——你必须使用原生 API，比如 NtEnumerateKey。

【问题讨论】：

我刚才遇到了这个问题；如果我没记错的话，它是被一些微软软件使用的（我不记得具体细节了）。也许明天我会在我的电子邮件档案中找到它。我从我们的一位驱动程序编写者那里得到的理解是，您可以使用驱动程序创建任何（易失性？）密钥，但用户模式（或至少 Win32）只能在 \Machine 和 \User 下看到内容。

这是我们的一位驱动程序编写者的评论：“DISCACHE.sys 驱动程序似乎正在缓存系统文件属性并以未记录的方式使用 \REGISTRY\A。此驱动程序是内核的一部分，因此它可以随心所欲地装载任何蜂巢。”该文件被描述为“系统索引器/缓存驱动程序”或“系统属性缓存”；有点笼统地说明它可能在做什么。

哇！这很有趣！如果您将评论作为答案，我肯定会将其标记为已接受！ :)

【参考方案1】：

这是我们的一位驱动程序编写者的评论：“DISCACHE.sys 驱动程序似乎正在缓存系统文件属性并以未记录的方式使用 \REGISTRY\A。此驱动程序是内核的一部分，因此它可以加载任何配置单元随心所欲。”

【讨论】：

一个来源仍然很好。即使信息本身很有价值。

【参考方案2】：

有趣...

钥匙确实可以用相对路径打开，但不能用绝对路径打开。

它似乎包含有关所有文件系统和诸如此类的信息。看起来很神秘，确实……