Guten Tag,

mein ziel ist es folgende System Ereignisse abzufangen:
wenn eine datei erstellt, modifiziert oder gelöscht wird.

Der user selbst sollte mit einem dialog entscheiden können
ob das Ereignis genehmigt oder geblockt wird. Ich möchte keine Spy Software oder einen Rootkit erstellen!
Mein ziel ist es dadruch sensible Dateien zu schützen und zu überwachen.

Reichen SSDT-Hooks(API der NTOSKRNL.EXE: ZwCreateFile(wäre ZwCreateSection mit dem enstprechenden flag nicht besser?), ZwSetInformationFile, ZwDeleteFile) oder lieber mit einem Kernel-Mode Dateisystem Treiber so wie Filemon von SysInternals.