Перехват обращений к реестру

[Fedor666]

Доброго всем времени суток!
Есть идея перехватывать изменения в разделах автозагрузки реестра WinXP (~20 мест) и, возможно, в будущем запись в файлы (exe, dll, etc.). Достали дурацкие антивирусы, которые пропускают даже тупые винлоки с постоянными обновлениями баз и серийных номеров с лицензиями.
В и-нете нашел только вирусные технологии перехвата API, но поскольку я делаю не вирус, может есть методы по-проще? По-легальнее?
Встречал ВинПатруль (пуделечек), но он дублирует данные реестра и постоянно проверяет на изменения. А значит постоянно жрет процессор и контролирует всего несколько мест. Не красиво и не эффективно! Прога должна активироваться только тогда, когда это нужно! А это - только перехват
Готовый код не прошу, но подскажите пожалуйста в какую сторону копать. Как все это примерно должно выглядеть? Может есть какой букварь на русском?
Имеется МАСМ и С++.
Заранее спасибо

[yuran666666]

Перехват функций из advapi32.dll (или еще пониже где, например) по работе с реестром во всех процессах любым известным/неизвестным/придуманным лично вами методом перехвата. Разумеется с отслеживанием новых процессов, etc. Или же, как r0 вариант, сорцы регмона вовсе не приват и ищущему легко обрящиваются.

[rpy3uH]

исходники регмона и вперёд. это самый простой способ, ибо перехват в user mode сложнее в реализации