Как зделать запрет удаления/модификации определенніх веток реестра. Можно подменить функиции ZwCreateKey,ZwSetValueKey,ZwDeleteValueKey,.... ну и прочих. Просто их много. Можно на Notify поставить, но я как понял там только сообщаются доступ к регу, а запретить изменения нельзя. Эт что получается типа получать нотифи, потом заново создавать ключи? Есть ли какой нить метод полудше? Или я ожибаюсь насчет регистри нотифи, и можно там не только ресивать , но и блокировать измениения? снкс.
достаточно хукнуть NtCreateKey/NtOpenKey, NtSet... требуют уже открытй хендл ключа. можеть проще обойтись правами доступа к ключу?
