Может кто-нибудь, пожалуйста, дайте мне разъяснение на высоком уровне о том, как они могут отслеживать каждый доступ к реестру?
http://technet.microsoft.com/en-us/sysinternals/bb896645
Достаточно деталей, чтобы я мог общаться с различными подтемами и пытаться написать свой собственный? Я знаю, что они использовали какую-то инъекцию DLL-инъекций/API, но я не уверен, как они достигли всей активности режима ядра.