Не совсем, но в некоторых случаях мы можем сделать правильное предположение.
RegQueryValueОперация в Process Monitor, по существу соответствует RegQueryValueExфункции при вызове. Эта функция имеет параметр с именем lpType, но это ...
Указатель на переменную, которая получает код, указывающий тип данных, сохраненных в указанном значении.
Акцент мой. Это делается для того, чтобы приложениям можно было узнать тип полученного ими значения. ( RegQueryValueExне заботится о типах данных, он просто передает байты. Это задача программы интерпретировать байты.) Даже если программа по какой-то причине указала тип, Process Monitor не сообщает значение при вводе функции, только при успешный выход.
Это, однако, сообщает «длина». По непонятным причинам это не то lpcbDataзначение, которое приложение предоставляет для определения размера буфера для результата - в 64-битной системе нужно вычесть 12, чтобы получить оригинал. Значение DWord занимает 4 байта, значение QWord занимает 8 байтов, а все остальные виды имеют переменную длину. (Программы могут также вообще не подготавливать память перед вызовом функции, просто чтобы проверить, существует ли значение.) Поэтому, если «длина», сообщаемая Process Monitor, равна 16, программа ожидает 4-байтовый фрагмент данных, что почти конечно DWord.