1

我知道如何挂钩 API。但我不知道新创建注册表时调用了什么 API。

我想检测注册表创建时间,我想知道那个键,数据。
是否有任何 API 可用于与注册表相关的挂钩?
以及如何知道 API 是最好的?

4

1 回答 1

0

我解决了。

通过 msdn 和 procmon.exe,在创建注册表时调用 ZwCreateKey。所以我挂钩了这个 API。并获取数据!

但我仍然不知道 ZwCreateKey 是否正确是最好的。

于 2016-06-10T08:46:35.323 回答