レジストリにどのような変更が加えられたか、またはどのプロセスが開始されたかを見つけようとしています。例: windows-explorer の表示を変更して隠しファイルとフォルダーを表示する場合、それによって変更されたレジストリ エントリを確認したいと思います。
プロセス モニターを使用するように提案されましたが、a) レジストリへのアクセスが多すぎます。b) レジストリへの変更が見つかりませんでした。(私はそれを制御するレジストリへの変更であることを読んだことを覚えていますが)
私がこれを行っているのは、自分のプログラムに同じことをさせたいからです。
C# での回答で問題ありません。
ええ、すごい、レジストリが巨大になる可能性があるので、これは本当にトリッキーになる可能性があります。以前は、レジストリのブランチ(HKEY_LOCAL_MACHINE \ SOFTWARE \ InnaTechなど)をエクスポートしてから、そのブランチで何かを編集していると思われるプログラムを実行してから、別のファイルに再度エクスポートしていました。ブランチがそれほど大きくない場合は、違いを目で確認できます。そうでない場合は、通常のdiffプログラムalaWinDiffを使用して変更を見つけます。
RegNotifyChangeKeyValue() は、呼び出す必要があるシステム関数です。C# から使用しようとする人を見たことはありませんが、他のアンマネージ コードを呼び出すのと同じくらい簡単に使用できるはずです。基本的には、呼び出して、最初の変更が行われた後に戻り、再度呼び出して次のチャンデを待ちます。
http://msdn.microsoft.com/en-us/library/windows/desktop/ms724892%28v=vs.85%29.aspx
は、その使用についてかなり適切に説明されています。
http://www.mydigitallife.info/trick-to-enable-show-hidden-files-and-folders-in-windows/
[スタート] メニューに移動し、[実行] をクリックします (Windows Vista および Windows 7 では代わりに [検索の開始] を使用します)。RegEdit と入力し、Enter キーを押してレジストリ エディターを実行します。次のレジストリ キーに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
右側のペインで、CheckedValue 値のデータが REG_DWORD タイプであることを確認します。そうでない場合 (REG_SZ に属している場合など)、CheckedValue 値のデータを削除します。CheckedValue が削除されている場合は、新しい DWORD (32 ビット) 値を作成し、CheckedValue という名前を付けます。CheckedValue をダブルクリックし、その値のデータを 1 に変更します (ウイルスによって 0 または 2 に変更される場合があります)。同じレジストリ キー内で、Type 値のデータが REG_SZ 型であり、値のデータが radio であることを確認します。そうでない場合は、ラジオに設定してください。ウイルスが空白に変更する可能性があります。すべての非表示のファイル、フォルダー、およびドライブを表示または表示するようにシステムを設定し、非表示のファイルとフォルダーが表示されるかどうかを確認します。