Есть такая тулза которая может логирываЕть запросы к реестру винды на запись.Я просмотрел таблицу импорта этой софтины по 3м экзешникам, и ниче такого особого не обнаружил. Но прикол в том что зверьки которые по своей деятельности лазиют в реестр, пытаются уйти в засаду и не палить себя когда эта софтина выполняется... Я так подозреваю что эта софтина(mjrwmon) ставит какие то хуки через оф. не документированое АПИ.Может кто знает как оно отслеживает завпросы на запись в реестре? ЗЫ: оно довольно древнее ,еще до 7ки по ходу, но палит обращения на запись в реестр без всяких запусков через UAC.Для меня єто реально загадка, как оно работает, что за апи юзает...
yos196, может всё совсем просто == делает сохранку реестра и сравнивает по нему наличие новых записей.
Плохо смотрел. https://docs.microsoft.com/en-us/windows/win32/api/winreg/nf-winreg-regnotifychangekeyvalue UAC не срабатывает потому что не на что.
Был еще регшот или как то так, но он работал именно на базе снимков реестра и их сравнения. Его уже канеш немодно использовать.
MJRegWatcher procmon: 143k событий по реестру до запуска. Походу оно весь реестр дампит прямым перечислением, как сразу и сказали.
Походу Инде не осилил поставить фильтр по интересующему его процессу, что в принципе не удивительно, зная Инде.
А как оно тогда определяет изменившийся ключ, и что самое главное процесс изменивший ключ в реестре ?
To monitor registry operations in more detail, see Registry. COM-объект. Скорей всего так, лень проверять.
yos196, Даже если бы он был ядерным фильтром за две недели ты как нуби смог бы разобрать. Если не хочешь за пару минут паблик инструментами посмотреть, то тебе тоже сюда(каждый придурок с комерс задачей должен платить) https://wasm.in/forums/wasm-commerce.27/
