监控Windows操作系统用户增删修改


监控Windows操作系统的用户信息更改，可以采用监控注册表来实现。

在注册表中，用户和用户组信息保存在HKEY_LOCAL_MACHINE的SAM\\SAM\\Domains\\Account下面。用户信息保存在SAM\\SAM\\Domains\\Account\\Users下面；用户组信息保存在SAM\\SAM\\Domains\\Account\\Aliases下面。

当然可以采用写注册表过滤驱动来实现监控，但是写驱动比较麻烦，而且有时候我们只需要知道注册表有更改，然后再去获取用户信息就OK。

以下代码实现，当用户和用户组有更改时，系统通知事件出来。

#include <Windows.h>
#include <stdio.h>

#define SYS_ACCOUNT_REG_KEY_W   L"SAM\\SAM\\Domains\\Account"
#define SYS_ACCOUNT_REG_KEY_A   "SAM\\SAM\\Domains\\Account"

int main(int argc, char **argv)
{
HANDLE hEvent;
LSTATUS ret;
HKEY hKey;
DWORD dwRet;

hEvent = CreateEventW(NULL, FALSE, TRUE, L"RegistryNotify");
if (NULL == hEvent)
{
printf("Create event failed.\n");
return GetLastError();
}
ret = RegOpenKeyExW(HKEY_LOCAL_MACHINE, SYS_ACCOUNT_REG_KEY_W, 0, KEY_NOTIFY, &hKey);
if (ERROR_SUCCESS != ret)
{
CloseHandle(hEvent);
printf("Open Key %s failed.\n", SYS_ACCOUNT_REG_KEY_A);
return ret;
}
while(TRUE)
{
ret = RegNotifyChangeKeyValue(hKey, TRUE, REG_NOTIFY_CHANGE_NAME
| REG_NOTIFY_CHANGE_ATTRIBUTES
| REG_NOTIFY_CHANGE_LAST_SET
| REG_NOTIFY_CHANGE_SECURITY, hEvent, TRUE);
if (ERROR_SUCCESS != ret)
{
printf("RegNotifyChangeKeyValue failed.\n");
break;
}
dwRet = WaitForSingleObject(hEvent, INFINITE);
if (WAIT_FAILED == dwRet)
{
ret = GetLastError();
printf("WaitForSingleObject failed.\n");
break;
}
else
{
printf("System account change occur...\n");
}
}
RegCloseKey(hKey);
CloseHandle(hEvent);
return ret;
}