注册表监控器和注册表保护器 - Registry Filter Driver SDK

下载 EaseFilter Registry Filter Driver SDK 安装文件
下载 EaseFilter Registry Filter Driver SDK 压缩文件
了解 EaseFilter Filter Driver SDK 编程

Registry Filter Driver

注册表过滤驱动程序是一种过滤注册表调用的内核模式驱动程序，它为你提供了一种简单的方法来开发用于注册表监控和保护的 Windows 应用程序，跟踪注册表变化并防止注册表被未经授权的进程或用户更改。有了 EaseFilter 注册表过滤驱动程序，除操作系统文件外，您的应用程序还能保护 Windows 核心注册表键值和值，防止潜在的破坏性系统配置更改。通过在注册表过滤驱动程序中注册RegistryCallback例程，它可以在配置管理器处理操作之前接收每次注册表操作的通知。一组包含每次注册表操作信息的 REG_XXX_KEY_INFORMATION 数据结构将返回给用户模式应用程序，应用程序可以允许授权进程或用户访问或更改注册表，并拒绝未经授权的进程或用户访问注册表。

注册表访问监控

配置管理器调用驱动程序的 RegistryCallback 例程时，会向例程传递一个 REG_NOTIFY_CLASS 枚举值。配置管理器还会传递一个特定于通知的结构，其中包含有关通知的信息。RegistryCallback 例程可以检查为注册表操作提供的输入和输出缓冲区的内容。

跟踪注册表项更改

要跟踪注册表项更改，请注册这些“Reg_Post_Create_Key、Reg_Post_Delete_Key、Reg_Post_Set_Value_Key、Reg_Post_Delete_Value_Key、Reg_Post_SetInformation_Key、Reg_Post_Rename_Key、Reg_Post_Create_KeyEx、Reg_Post_Restore_Key、Reg_Post_Replace_Key”通知类。 当注册表项、值或安全性被修改时，将使用包含特定于注册表操作类型的信息的数据结构来调用回调例程。

注册表保护器

要阻止未经授权的进程对注册表进行更改，请注册这些“Reg_Pre_Create_Key、Reg_Pre_Delete_Key、Reg_Pre_Set_Value_Key、Reg_Pre_Delete_Value_Key、Reg_Pre_SetInformation_Key、Reg_Pre_Rename_Key、Reg_Pre_Create_KeyEx、Reg_Pre_Restore_Key、Reg_Pre_Replace_Key”通知类。 当要修改注册表项、值或安全性时，将使用包含特定于注册表操作类型的信息的数据结构来调用回调例程，如果RegistryCallback例程返回状态值“STATUS_ACCESS_DENIED” 预先通知，该注册表操作将被阻止并返回错误码。

注册表项虚拟化

修改注册表调用以创建虚拟注册表项或值：为了注册预先通知，RegistryCallback 例程可以修改注册表操作的输出参数或返回值。 此外，为了处理虚拟注册表项或值，RegistryCallback 例程可以返回您自己的自定义数据，而不是让注册表处理该操作。

注册表监视器和保护器屏幕截图