HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableFileInterception

REG_DWORD

指定文件截获挂钩是否被禁用（引导时相关函数不进行初始化）。

值：1（禁用）

注意：如果此注册表项不存在（默认），或设置为除 1 之外的任何值，那么文件截获在引导时进行初始化。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableNetworkInterception

REG_DWORD

指定网络截获挂钩是否被禁用（引导时相关函数不进行初始化）。

值：1（禁用）

注意：如果此注册表项不存在（默认），或设置为除 1 之外的任何值，那么网络截获在引导时进行初始化。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableProcessInterception

REG_DWORD

指定进程截获挂钩是否被禁用（引导时相关函数不进行初始化）。

值：1（禁用）

注意：如果此注册表项不存在（默认），或设置为除 1 之外的任何值，那么进程截获在引导时进行初始化。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableRegistryInterception

REG_DWORD

指定注册表截获挂钩是否被禁用（引导时相关函数不进行初始化）。

值：1（禁用）

注意：如果此注册表项不存在（默认），或设置为除 1 之外的任何值，那么注册表截获在引导时进行初始化。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SeosDrv\Parameters\KernelBuffersSize

REG_DWORD

在 CA ControlMinder 内核驱动程序 (seosdrv.sys) 启动时，默认情况下根据以下公式分配其内部使用的内存：

number_of_buffers = amount_of_RAM

例如：为 256 MB RAM 分配 256 个缓冲区。 每个缓冲区的长度为 4096 字节。

如果您要控制 seos.drv 分配的缓冲区数目，请创建此注册表项，并将值设置为要分配的缓冲区的数。

注意：32 是缓冲区的最小数。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\SeosDrv\EventMessageFile

REG_EXPAND_SZ

定义 seosdrv.sys 驱动程序的路径名。

默认值：%SystemRoot%\System32\drivers\seosdrv.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\SeosDrv\TypesSupported

REG_DWORD

定义所支持事件类型的位掩码的标准 Windows 项。

默认值：7

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\cainstrm\parameters\DllScanList

REG_SZ

定义以逗号分隔的 DLL 列表（按名称），这些 DLL 将触发 cainstrm.sys 注入

默认值：无默认值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\cainstrm\parameters\DllScanListRefreshPeriod

REG_DWORD

定义扫描 cainstrm 注册表项的间隔（秒）。

默认值：600

HKEY_LOCAL_MACHINE\System\CCS\Services\Cainstrm\parameters\ExcludeProcess

REG_MULTI_SZ

按名称指定驱动程序要从本地 instrumentation 排除的进程。

默认值：none

HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Cainstrm\Parameters

REG_DWORD

指定对 .Net 程序集的 CA ControlMinder 低级检测策略。

默认值：1（1 表示启用 .Net 程序集的检测）。