Просто запомнить какие файлы и ключи реестра трогались при установке, можно и это достаточно легко. Просто перед установкой запоминаем текущее состояние, потом сравниваем с состоянием после установки.
А вот для отслеживания текущих изменений придется все-таки хакать API, т.к. кто открывал файл на файловой системе (и в реестре) не отражается.
Поищи в блоге Rouse, так были хорошие примеры хука API функций.
Т.е. хукаем функции открытия файлов, в хуке выясняем каким процессом отркыт файл/ключ и потом передаем управление самой функции.
|