Windows注册表是一个重要的信息来源,用于审计和隔离操作系统被视为“有限状态机”以及更改简单且“线性”时的更改。
例如,在安装新服务或更新之后,可以在注册表配置单元中查找密钥,例如“HKLM / system / currentcontrolset001”,以了解所安装的软件是否是关键服务(以便删除它不会导致系统启动失败)..。我正在寻找一种可靠的方法来查找用户甚至系统编辑的最后一个密钥 - 而不是通过外部实用程序,而是通过API函数调用,甚至是注册表本身。 。 我猜“regmon”正在使用这样的Windows调用...