1. 在管理员模式下运行CMD,输入以下命令
auditpol /set /subcategory:"{0CCE921E-69AE-11D9-BED3-505054503030}" /success:enable
:: 或 auditpol /set /subcategory:"Registry" /success:enable
:: 列出所有子类别
:: auditpol /list /subcategory:* /r
2. 找到我们想要监控的键值(项、值或数据),右键选择该键值,权限 - 高级 - 切换到审核选项卡,添加一个用户或者一个组,设置权限完全控制。
3. 完成后,我们就可以在事件查看器 - Windows日志 - 安全中,查看该注册表项的变化。
4.先试试修改默认值为 1, 然后按3步骤在安全窗口的右边窗口"查找" - 输入 "修改", 定位到注册表修改事件一项。
5.可以在四个主要注册表项设置审核用户,安装程序后,导出所有审核日志,在日志中查找所有修改项。这样就可以查看安装软件时修改的注册表项了。
6.另外推荐一个实用工具:RegFromApp