Просто информация. Ранее я поднимал тему (https://wasm.ru/forum/viewtopic.php?id=33300) мониторинга реестра в кернеле, в частности как мониторить HKEY_CURRENT_USER. Вот нашел ф-цию RtlFormatCurrentUserKeyPath, которая выдает путь вида "\REGISTRY\USER\S-1-5-21-1960408961-436374069-682003330-1003", т.е. HKEY_CURRENT_USER для текущего пользователя. Она экспортируемая. прототип: NTSTATUS NTAPI RtlFormatCurrentUserKeyPath(OUT PUNICODE_STRING RegistryPath); UNICODE_STRING она выделяет сама, так что надо потом вызвать RtlFreeUnicodeString.
