我需要监视Windows计算机上的registry更改。 是否有可能从用户模式的Windows服务,而不是从Windows驱动程序使用RegistryCallback? 大部分的例子都用在驱动程序中。
AFAIK不行,因为它是通过CmRegisterCallback()和CmRegisterCallbackEx() ,只能在内核模式驱动程序中调用。
CmRegisterCallback()
CmRegisterCallbackEx()
用户模式进程可以使用RegNotifyChangeKeyValue() ,但不会报告有关对注册表进行的任何更改的详细信息。
RegNotifyChangeKeyValue()
SysInternals进程监视器使用内核模式驱动程序来监视详细的注册表活动,以在用户模式查看器中显示。