Может кто-нибудь, пожалуйста, дайте мне разъяснение на высоком уровне о том, как они могут отслеживать каждый доступ к реестру?
http://technet.microsoft.com/en-us/sysinternals/bb896645
Достаточно деталей, чтобы я мог общаться с различными подтемами и пытаться написать свой собственный? Я знаю, что они использовали какую-то инъекцию DLL-инъекций/API, но я не уверен, как они достигли всей активности режима ядра.
Он загружает виртуальный драйвер при запуске, который выполняет мониторинг на низкоуровневом уровне. Поэтому ему не нужно вводить ничего в другие процессы.
В http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm приводится краткое описание того, как работает FileMon, один из предшественников ProcMon.
Если вам нравится читать код, здесь исходный код FileMon и RegMon: http://www.wasm.ru/baixado.php?mode=tool&id=283 (из http://forum.sysinternals.com/topic8038_page1.html)