无意中发现的 KIS8的注册表监控还是存在问题，存在被绕过的可能 其实方法还是老方法，就是注册表转储 当然这还不是真正意义上的Hive操作（直接操作HIVE不当容易造成注册表配置的损坏） 但要过KIS也够了 虽然卡巴的驱动Hook了相关函数，但看来是白Hook了 由于低受限默认允许了“保存注册表项到文件”，所以如果程序被分到低受限，这种控制就形同虚设 而且即使禁止了“保存注册表项到文件”，程序也可以事先保存好转储文件再释放，一样可以过卡巴 附测试程序 共三个测试 Test1 修改卡巴HKLM\