我正在尝试使用基于清单的ETW（用C++编写，krabsetw库）来监视注册表的更改。我已经看到了这个网站（https://social.msdn.microsoft.com/Forums/windows/en-US/ff07fc25-31e3-4b6f-810e-7a1ee458084b/etw-registry-monitoring?forum=etw），但我在Microsoft-Windows-Kernel-Registry提供程序中找不到与KCB相关的事件，无论是在logman还是这个网站（https://github.com/jdu2600/Windows10EtwEvents/blob/master/manifest/Microsoft-Windows-Kernel-Registry.tsv）中。所以可能我无法使用基于清单的ETW来跟踪KCB事件？
这个博客（https://lowleveldesign.wordpress.com/2020/08/20/monitoring-registry-activity-with-etw/）也提供了一种监控注册表的方法，它似乎使用了基于清单的ETW，对吗？所以也许在Microsoft-Windows-Kernel-Registry中有一些隐藏的操作码或事件？
如果有人能回答我或替代方法，我将非常感激。