我可以为用户模式执行此操作,但是如何在高级别描述中监视内核模式注册表访问?有人曾经提到过写一些驱动程序(实际上不是驱动程序)来访问操作系统中的低位驱动程序? :■
答案 0 :(得分:2)
要从内核模式执行此操作,您需要编写一个向Configuration Manager注册回调的驱动程序(此模块处理来自用户模式和内核模式的所有注册表访问)。回调成功注册后。从用户模式(RegXXX)和内核模式(ZwRegXX)调用注册表功能将转到CM,如果您已注册该特定功能,则会调用您的回调。您的回调可以注册为Pre和Post功能,用于不同的注册操作(创建,打开,读取,写入等)。
检查http://msdn.microsoft.com/en-us/library/ff545879(v=VS.85).aspx以获取更多信息