Also so genau geht's vermutlich nur, wenn du die entsprechende Native API hookst - vorzugsweise über einen Treiber und direkt in der NTOSKRNL.EXE (also nicht über die SSDT), weil du es sonst verpassen könntest.

Eine Alternative wäre auch die GINA, welche du ersetzen könntest. In diesem Falle würdest du vermutlich benachrichtigt werden, ich bin aber nicht sicher wie genau das dann ist.