高手来讨论，还原保护下注册表能否被穿透？如何保护注册表？

adamlovesyou

高手来讨论，还原保护下注册表能否被穿透？如何保护注册表？

我觉得保护注册表最便捷的方法就是事先备份或者用第三方软件快照，然后每次开机验证了；
这种方法可行吗？

那要速度快占资源少的方法备份注册表，有windows内部方法吗？
用第三方软件也可以，哪个第三方软件最好使？
或者是否有其他保护注册表的方式？

[ 本帖最后由 adamlovesyou 于 2009-1-4 03:54 编辑 ]

akmm88

api hook
hook 修改注册表的相关api.

还原，一般使用磁盘过滤驱动。如果对磁盘做低级IO操作的话，过滤驱动将得不到IRP消息。
这样的操作就变成你说的穿透还原。
至于修改注册表，应该是不能通过直接的文件修改实现，如果用API来修改注册表，就会产生IRP了，过滤驱动可以还原注册表的修改。