Die Frage ist immernoch als Offen markiert.

Ich würde ja die System Service Descriptor Table hooken. So machen das zB die Jungs von www.Sysinternals.com bei ihrem FILEMON. Sonst bekommste eh nicht alle Dateizugriffe die im Usermode anlaufen. Mit dem SSDT-Hook gehts.

Allerdings bleiben dann wiederum die meisten Kernelzugriffe unberücksichtigt. Aber die kannste auch mit obigen Beispielen nicht erfassen. Dann braucht es einen FSFD (File System Filter Driver). Einfach auf www.osr.com für die Mailinglist NTFSD anmelden. Man sollte allerdings keine Fragen des hiesigen Levels stellen. Vorbereitung wäre also angesagt!