我知道如何钩住API。 但我不知道新创建注册表时调用什么 API。
我想检测注册表创建时间,我想知道该键,数据。
是否有任何可用于与注册表相关的钩子的 API?
以及如何知道 API 是最好的?
我解决了这个问题。
通过 msdn 和 procmon.exe,在创建注册表时调用 ZwCreateKey。所以我钩住了这个 API。并获取数据!
但我仍然不知道ZwCreateKey是最好的。