Mysterious, Nativ „A“ Registrierungsschlüssel mit Pfad: Registry \ A

Question

Ich habe vor kurzem eine native NT Registrierungs-Editor für Windows geschrieben, und es lief auf Windows 7. Zu meiner Überraschung, zusätzlich zu den beiden Standard-Root-Schlüssel, MACHINE und USER, die auf Windows XP vorhanden sind, gab es auch eine mysteriöse Schlüssel mit dem Namen „A“, die in irgendeiner Weise, sei es durch Berechtigungsänderungen oder Backup-Privilegien oder auf andere Weise geöffnet werden können:

Wer weiß, was dieser Schlüssel ist für den? Ich glaube nicht, dass es für jede Software ist, weil es dort war, bevor ich etwas auf dem Computer installiert, und ich glaube, ich sah es auf eine anderen neuen Installation als auch. Es ist eher sehr verdächtig, und ich bin neugierig, warum es da ist. (Wenn ich neugierig genug bin, könnte ich einen Fahrer am Ende zu schreiben, es zu öffnen, ohne Privileg zu überprüfen, um zu sehen, was passiert!)

(Ich war nicht sicher, ob dies auf Super-User oder Stackoverflow zu setzen, da ich denke, es ist in jedem man gehen könnte ich falsch sein könnte, obwohl;.. Sorry, wenn dies nicht der geeignete Ort ist)

Edit:

Wenn vergessen zu sagen, ich glaube nicht, dass Sie auch diesen Schlüssel mit dem Win32-API sehen können, wie RegOpenKey -. Sie haben stattdessen die native API wie NtEnumerateKey verwenden

Answer 1

Hier ist der Kommentar von einem unserer Fahrer Autoren: „DISCACHE.sys Treiber scheint Systemdateiattribute werden Caching und mit \ REGISTRY \ A in einer undokumentierten Weise Dieser Treiber Teil des Kernels ist, so dass es jede Struktur laden können. wo immer es will. "

Answer 2

Interessante ...

Der Schlüssel in der Tat kann mit einem relativ Pfad geöffnet werden, aber nicht mit einem absoluter Pfad.

Und es scheint, Informationen über alle Dateisysteme und so weiter zu enthalten. Sieht aus geheimnisvoll, ja ...