有人可以给我高层解释，他们如何监视每个注册表访问权限？

http://technet.microsoft.com/en-us/sysinternals/bb896645

足够详细，以便我可以搜索各个子主题并尝试编写自己的子主题？我知道他们已经使用了某种dll注入(inject)/API挂钩，但是我不确定它们如何达到所有内核模式 Activity 。

它在启动时加载虚拟驱动程序，该驱动程序在低级别进行监视。因此，它不必在其他进程中注入(inject)任何东西。

在http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm上，简短说明了ProcMon的前任之一FileMon的工作方式。



同样，Regmon的另一个相似是:



如果您喜欢阅读代码，请参见FileMon和RegMon的源代码:http://www.wasm.ru/baixado.php?mode=tool&id=283(来自http://forum.sysinternals.com/topic8038_page1.html)