Die SecurityAttributes sind doch schon nach delphi übersetzt worden, oder? Bei mir zumindest ...

Also, ich hatte diese Idee auch schonmal, aber hab das dann nicht weiter ausgeführt, da es sau viel arbeit ist, hinterher nicht unbedingt funktioniert, und dazu noch sehr langsam ist. Das sind meiner ansicht nach die hauptgründe davon die finger zu lassen.

Desweiteren wirst du mit der MadCodeHook-Lib da probleme bekommen. Da viele Rootkits dateien verstecken indem sie z.B. die NtQuerySystemInformation Funktion hooken (was du auch tun müsstest), hat madshi das hooken dieser funktion (und das nicht nur dieser funktion) in seiner lib untersagt. Wenn du es versuchst wirst du eine fehlermeldung bekommen.

Dann musst du dich warscheinlich noch mit nem riesigen haufen von funktionen rumschlagen, die sogut wie überhaupt nicht dokumentiert sind. Wenn du da mal einen fehler rein machst kommt es schnell zum Absturz.

Daher lege ich dir sehr die Treiber-Version davon nahe ... und das ddk kann man sich bestimmt irgendwo billig ersteigern (wenns auch etwas älter is, sollte das nicht allzuviel machen)
Dazu kommt noch, dass es da sogar beispiele dazu gibt: FileDisk
Ich persönlich kenne mich mit treibern aber überhaupt nicht aus, und kann daher nicht allzuviel über die schwierigkeit eines solchen treibers sagen, aber es ist garantiert interessant!

ciao, Philipp