驱动开发：内核监控Register注册表回调

在笔者前一篇文章`《驱动开发：内核枚举Registry注册表回调》`中实现了对注册表的枚举，本章将实现对注册表的监控，不同于32位系统在64位系统中，微软为我们提供了两个针对注册表的专用内核监控函数，通过这两个函数可以在不劫持内核API的前提下实现对注册表增加，删除，创建等事件的有效监控，注册表监视通常会通过`CmRegisterCallback`创建监控事件并传入自己的回调函数，与该创建对应的是`CmUnRegisterCallback`当注册表监控结束后可用于注销回调。
新闻标题：驱动开发：内核监控Register注册表回调
分享地址：http://csdahua.cn/article/dsoiech.html