监控Windows操作系统用户增删修改

监控Windows操作系统的用户信息更改，可以采用监控注册表来实现。

在注册表中，用户和用户组信息保存在HKEY_LOCAL_MACHINE的SAM\\SAM\\Domains\\Account下面。用户信息保存在SAM\\SAM\\Domains\\Account\\Users下面；用户组信息保存在SAM\\SAM\\Domains\\Account\\Aliases下面。

当然可以采用写注册表过滤驱动来实现监控，但是写驱动比较麻烦，而且有时候我们只需要知道注册表有更改，然后再去获取用户信息就OK。

以下代码实现，当用户和用户组有更改时，系统通知事件出来。

#include <Windows.h>#include <stdio.h>#define SYS_ACCOUNT_REG_KEY_W   L"SAM\\SAM\\Domains\\Account"#define SYS_ACCOUNT_REG_KEY_A   "SAM\\SAM\\Domains\\Account"int main(int argc, char **argv){    HANDLE hEvent;    LSTATUS ret;    HKEY hKey;    DWORD dwRet;    hEvent = CreateEventW(NULL, FALSE, TRUE, L"RegistryNotify");    if (NULL == hEvent)    {        printf("Create event failed.\n");        return GetLastError();    }    ret = RegOpenKeyExW(HKEY_LOCAL_MACHINE, SYS_ACCOUNT_REG_KEY_W, 0, KEY_NOTIFY, &hKey);    if (ERROR_SUCCESS != ret)    {        CloseHandle(hEvent);        printf("Open Key %s failed.\n", SYS_ACCOUNT_REG_KEY_A);        return ret;    }    while(TRUE)    {        ret = RegNotifyChangeKeyValue(hKey, TRUE, REG_NOTIFY_CHANGE_NAME            | REG_NOTIFY_CHANGE_ATTRIBUTES            | REG_NOTIFY_CHANGE_LAST_SET            | REG_NOTIFY_CHANGE_SECURITY, hEvent, TRUE);        if (ERROR_SUCCESS != ret)        {            printf("RegNotifyChangeKeyValue failed.\n");            break;        }        dwRet = WaitForSingleObject(hEvent, INFINITE);        if (WAIT_FAILED == dwRet)        {            ret = GetLastError();            printf("WaitForSingleObject failed.\n");            break;        }        else        {            printf("System account change occur...\n");        }    }    RegCloseKey(hKey);    CloseHandle(hEvent);    return ret;}