Как определить имя процесса, который имеет доступ к указанному реестру, как монитор процесса

Question

Как определить имя процесса, который имеет доступ к указанному реестру, например, к монитору процесса?

Старые regmon делают это с помощью SSDT Hooking, но в Windows 10 мы не можем перехватить Реестр, использующий его. SSDT Хукинг кажется устаревшей технологией .

Существуют ли замены для SSDT, чтобы подключить?

Answer 1

Вы должны реализовать правильный драйвер фильтрации реестра .

Драйвер фильтрации реестра - это любой драйвер режима ядра, который фильтрует вызовы реестра, например компонент драйвера пакета антивирусного программного обеспечения. Менеджер конфигурации, который реализует реестр, позволяет драйверам фильтрации реестра фильтровать вызовы любых потоков для функций реестра.