c# - 如何监控注册表访问？ [C#]

Question

我有一个作为 LocalSystem 运行的 C# 服务(我们称之为 Serv.exe)，我需要这个服务来监控所有注册表访问。

特别是每当它启动的任何进程调用 HKEY_CURRENT_USER\Software*.* 时，我都需要捕获该调用(更改或只是访问)，以便我可以相应地重定向它 - 我知道 CHANGE事件，但仅访问注册表以获取值呢？

推理(如果有人有更好的建议 - 我会更欢迎) - 该服务在具有自己的 HKEY_CURRENT_USER 的 LocalSystem 下运行，但该服务用于在登录用户的后台安装软件 -因此，当安装此软件时，它可能会尝试影响 USER 本身的 HKEY_CURRENT_USER(这很好)- 因此我需要确保这些更改反射(reflect)给 USER 而不是 LocalSystem 帐户。

任何建议、帮助和建议都将不胜感激。谢谢，

Answer 1

使用Sysinternals Process Monitor如果你只是想看看发生了什么。

重定向很复杂；你需要将 API 与类似 Detours 的库 Hook ，但在生产中使用它的许可证是昂贵的。也就是说，Process Monitor 仍然有助于确保您的 API Hook 正在做正确的事情。

您的服务启动的进程是否需要继续作为 LocalSystem 运行？如果没有，请尝试 CreateProcessAsUser获取在适当帐户下创建的流程。

如果您的需求更简单，例如让粗心编写的应用程序在没有 HKLM 写入权限的情况下运行，Application Compatibility Toolkit可能是门票。

不幸的是，安装是最糟糕的情况。您可能需要采取笨拙的技巧，让您的服务将用户添加到 Administrators 组，使用 CreateProcessAsUser 启动安装程序，然后在进程启动后再次从 Administrators 组中删除用户，类似于 Aaron Margosis 的 MakeMeAdmin script .

如果安装程序那么糟糕，您可能会更好地收集必要的 HKCU 注册表设置(使用 Process Monitor，或 reg export 安装前后的 HKCU 并将它们进行比较)到 .reg 文件，并拼凑出某种启动脚本，在登录时导入注册表项(并留下面包屑，这样它就不会为同一用户重新运行并覆盖他们的设置)。我已将这种方法用于坚持将所有内容保存在 HKCU 中的专业应用程序。

如果您不介意深入挖掘未记录的深度，您作为 LocalSystem 运行的服务可以做到 some complicated hocus-pocus involving essentially undocumented APIs like ZwCreateToken在添加了本地管理员组的用户 session 中运行安装程序。这也有一些限制——例如，没有密码创建的 token 将没有网络凭证。