EaseFilter Registry Protection SDK是一个过滤器驱动程序,它允许您开发跟踪或阻止注册表更改的应用程序。当修改注册表项、值或安全性时,将使用包含特定于注册表操作类型的信息的数据结构调用回调例程。
阻止注册表调用以防止未经授权的进程更改注册表。当要修改注册表项、值或安全性时,将使用包含特定于注册表操作类型的信息的数据结构调用回调例程。如果RegistryCallback例程返回状态值“status_ACCESS_DENIED”作为预通知,则此注册表操作将被阻止,并返回错误代码。
注册表筛选器驱动程序
注册表过滤器驱动程序是一个内核模式驱动程序,用于过滤注册表调用,它为您提供了一种简单的方法来开发用于注册表监视和保护的Windows应用程序,跟踪注册表更改并防止未经授权的进程或用户更改注册表。使用EaseFilter注册表筛选器驱动程序,它使您的应用程序能够保护Windows核心注册表项和值,并防止可能损坏的系统配置更改,以及操作系统文件。通过在注册表筛选器驱动程序中注册RegistryCallback例程,它可以在配置管理器处理每个注册表操作之前接收每个注册表操作的通知。包含每个注册表操作信息的一组REG_XXX_KEY_INFORMATION数据结构将返回到您的用户模式应用程序,您的应用程序可以允许对授权进程或用户进行注册表访问或更改,并拒绝对未经授权的进程或用户的注册表访问。
注册表访问监控
要获得注册表操作的通知,它需要向REG_NOTIFY_CLASS注册RegistryCallback例程,REG_NOTITY_CLASS指定配置管理器传递给RegistryCallback例行程序的注册表操作类型。当配置管理器调用驱动程序的RegistryCallback程序时,它会向例程传递REG_NOTIFY_CLASS枚举值。配置管理器还传递包含通知信息的通知特定结构。RegistryCallback例程可以检查为注册表操作提供的输入和输出缓冲区的内容。
跟踪注册表项更改
要跟踪注册表项更改,请注册这些“Reg_Post_Create_key、Reg_Post_Delete_key、Reg_Post_Set_Value_key、Reg_Post_Delete_Value_key、Reg_Post _SetInformation_key、Reg_Post_Rename_key、Rec_Post_CCreate_KeyEx、Reg_Ppost_Restore_key、Leg_Post_Replace_key”通知类。当修改注册表项、值或安全性时,将使用包含特定于注册表操作类型的信息的数据结构调用回调例程。
注册表保护器
要阻止未经授权的进程对注册表进行更改,请注册这些“Reg_Pre_Create_Key、Reg_Pre_Delete_Key、Reg_Pre_Set_Value_Key、Reg_Pre_Delete_Value_Key、Reg_Pe_SetInformation_Key、Reg-Pre_Reame_Key、RG_Pre_Create_KeyEx、Reg_Precore_Key和Reg_Pre_Replace_Key”通知类。当要修改注册表项、值或安全性时,将使用包含特定于注册表操作类型的信息的数据结构调用回调例程。如果RegistryCallback例程返回状态值“status_ACCESS_DENIED”作为预通知,则此注册表操作将被阻止,并返回错误代码。
注册表项虚拟化
修改注册表调用以创建虚拟注册表项或值:要注册预先通知,RegistryCallback例程可以修改注册表操作的输出参数或返回值。此外,为了处理虚拟注册表项或值,RegistryCallback例程可以返回您自己的自定义数据,而不允许注册表处理该操作。