То-есть, по принципу Registry Monitor от Русиновича. Вероятно, он таки использует какой-то драйвер, позволяющий ему мониторить вообще любой доступ к реестру (проверить можно, включив отображение скрытых устройств в "Диспетчере устройств" после запуска Registry Monitor - там будет светится устройство REGMONxxx)

Есть ещё такая штука как Event Tracing (http://msdn.microsoft.com/en-us/library/windows/desktop/bb968803(v=vs.85).aspx). Надо посмотреть.