Es gibt APIs um sowohl Registry als auch Dateiänderungen zu erfassen. Allerdings sollte man dies aus offensichtlichen Gründen (Performance) nicht für das Root-Verzeichnis oder die gesamte Registry machen. Wo die API nicht vorhanden ist, hilft API-Hooking (am besten SSDT auf NT-Systemen).