Tag: api hook

注册表监控，包括内核模式注册表访问？

我记得在我最后一年的大学项目中我编写了一个C＃注册表监视器，然而，当我将它与Microsoft ProcessMonitor应用程序进行比较时（我记不起它的确切名称，但是它是由MSoft收购的公司），我没有捕获尽可能多的注册表调用。 这是因为我使用的是C＃包装器，因此它只会捕获用户模式注册表访问吗？ 我使用了这个包装器： http ： //www.codeproject.com/KB/DLL/EasyHook64.aspx 为了捕获内核模式注册表访问，我必须用C ++编写？

SysInternal的ProcessMonitor如何工作？

有人可以给我一个高级别的解释，他们如何能够监控每一个注册表访问？ http://technet.microsoft.com/en-us/sysinternals/bb896645 足够的细节，以便我可以谷歌围绕各个子主题，并尝试编写我自己的主题？ 我知道他们已经使用了某种dll注入/ API挂钩，但我不确定他们是如何达到所有内核模式活动的。