若要篩選登錄呼叫,您的內核模式登錄篩選驅動程序必須先呼叫 CmRegisterCallback 或CmRegisterCallbackEx 來註冊 RegistryCallback 例程。 (針對 Windows Vista 和更新版本的作系統版本,驅動程式應該使用 CmRegisterCallbackEx ,而不是 CmRegisterCallback。)
在驅動程式註冊 RegistryCallback 例程之後,組態管理員會在每次線程嘗試執行登錄作業時呼叫例程。 執行登錄作業的線程可以來自呼叫使用者模式登錄例程的使用者模式應用程式(RegCreateKeyEx、 RegOpenKeyEx 等等),以及從呼叫內核模式登錄例程的驅動程式(ZwCreateKey、 ZwOpenKey 等等)。
針對大部分的作業,您的驅動程式可以在組態管理員處理登錄作業之前收到通知(通知前),或在作業完成之後立即收到通知(但在組態管理員返回呼叫端之前—通知後)。 如需驅動程式可接收的通知類型清單,請參閱 REG_NOTIFY_CLASS。
在驅動程式呼叫 CmRegisterCallback 或 CmRegisterCallbackEx 之後,驅動程式將會收到通知,直到呼叫 CmUnRegisterCallback 或卸除為止。