Zitat von
Metal_Snake2:
Reichen SSDT-Hooks(
API der NTOSKRNL.EXE: ZwCreateFile(wäre ZwCreateSection mit dem enstprechenden flag nicht besser?), ZwSetInformationFile, ZwDeleteFile) oder lieber mit einem Kernel-Mode Dateisystem Treiber so wie Filemon von SysInternals.
Über den ersten Lösungsansatz würde ich gar nicht erst nachdenken. Es geht eher in Richtung des zweiten Ansatzes (Filtertreiber).