谁能给我一个高层次的解释他们如何能够监控每一个注册表访问？http://technet.microsoft.com/en-us/sysinternals/bb896645足够详细，以便我可以搜索各种子主题并尝试编写自己的子主题？我知道他们使用了某种dll注入(inject)/APIHook，但我不确定他们是如何达到所有内核模式事件的。 最佳答案 它在启动时加载一个虚拟驱动程序，该驱动程序在低级别进行监视。所以它不必在其他进程中注入(inject)任何东西。开启http://www.decuslib.com/decus/vmslt00