Jak jedynym narzędziem które znasz jest młotek, to wszystko wydaje się gwoździem :P.
Modyfikacja rejestru systemu to tak "głośna" operacja że prawie każde narzędzie to potrafi wyłapać. Używanie debuggera tutaj jest możliwe, ale przekombinowane.
Banalnie proste rozwiązanie - użycie czegoś w rodzaju procmon (z sysinternals suite). Procmon loguje stacktrace, więc jesteś ustawiony od razu. Ma to tą zaletę że nie musisz z góry wiedzieć nawet który program zmienia ten klucz (chociaż w Twoim przypadku wiesz, z tego co rozumiem).
Drugie rozwiązanie, bardziej złożone - użycie apimon (albo innego programu hookującego wywołania funkcji) i zaczajenie się na wywołanie RegSetValueEx/RegOpenKeyEx. Później analogicznie, szukasz stacktrace.
Jesli chcesz utrudniać sobie życie i hackersko używać niskopoziomowych narzędzi, to już lepiej użyć dobrego dizasemblera, zlokalizować tam ten string, i znaleźć odwołania do offsetu pod ktorym się znajduje w kodzie - z odpowiednim narzędziem powinno na to zejść kilka minut max (z IDĄ 30 sekund).
A jeśli jesteś fanem debuggerów, to zrób tak - wczytujesz program który robi to co Cię interesuje do debuggera i robisz breakpointa na main/EP. Następnie szukasz tego stringa w pamięci (szukaj go jako bajtów za pomocą debuggera - musi występować jeśli dll zostało załadowane do procesu, a jeśli nie ma żadnych cudów to będzie załadowana od razu). Następnie stawiasz jednobajtowy hardware breakpoint na read na początku napisu. Uruchamiasz program, breakpoint powinien zostać triggerowany. Wtedy patrzysz na stacktrace (prawdopodobnie znajdujesz się w jakiejś funkcji z Advapi32), i cofasz się nim aż trafisz na ramkę stosu z programu który Cię interesuje.