Registryänderungen kannst du ab Windows XP mit den entsprechenden CM-APIs aus dem Kernelmode überwachen. Bei Windows 2000 und drunter mußt du die guten alten SSDT-Hooks oder eine äquivalente Methode verwenden um die Registry-APIs zu hooken.