SysInternal的ProcessMonitor如何工作?

有人可以给我一个高级别的解释,他们如何能够监控每一个注册表访问?

http://technet.microsoft.com/en-us/sysinternals/bb896645

足够的细节,以便我可以谷歌围绕各个子主题,并尝试编写我自己的主题? 我知道他们已经使用了某种dll注入/ API挂钩,但我不确定他们是如何达到所有内核模式活动的。

它在启动时加载虚拟驱动程序,在低级别上执行监视。 所以它不必在其他进程中注入任何东西。

在http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm上,有一个关于ProcMon的前身之一FileMon如何工作的简短说明。

如果你喜欢阅读代码,这里是FileMon和RegMon的源代码: http ://www.wasm.ru/baixado.php?mode = tool& id = 283(来自http://forum.sysinternals.com/topic8038_page1.html )