*senf-ranschaufel*
Also die Performance-API kann nur dann helfen, wenn es um die Quantität der Zugriffe geht. Über die Qualität (i.e. den Inhalt) kann die nichts aussagen. Ansonsten, wenn wir schon beim API-Hooking sind, können wir auch ein Stockwerk tiefer gehen und über SSDT-Hooking reden. Aber selbst hier, auf dieser Ebene, kann man durch das Hooken der Native APIs nicht alles abfangen. Die sicherste Methode dürfte wohl ein Filtertreiber sein. Wenn es nur um Lesen/Schreiben im althergebrachten Sinne geht, kann ein API-Hook auf eine Native API im Usermode oder besser im Kernelmode helfen (ansonsten sind bei brechis Methode zumindest dann welche durchs Netz gegangen, wenn jemand die Native APIs direkt benutzt - wie andere Subsysteme, oder interne Funktionen von Windows).

Übrigens: bei der Performance Counter Methode würde ich die Registry-Benachrichtigungs-APIs empfehlen (statt ständigem Polling ).