Eine Vorangehensweise im User-mode wäre z.B. du schreibst dir eine globale Hook-DLL, die einen oder mehrere IAT-Hooks macht.
Es werden dann alle Funktionen gehooket, die verwendet werden, um Modifikationen an Dateien vorzunehmen (~ CreateFile, WriteFile, ReadFile, CloseHandle).
Das angenehme an globalen Hook-Dlls ist, dass sie, sobald der globale Hook gesetzt ist, virtuell in jeden Prozess geladen werden und somit der IAT-Hook in allen Prozessen stattfindet.

MfG