Dafür wirst du wohl einige APIs hooken müssen (welche man vorwiegend zum Kopieren nutzt)

ReadDirectoryChangesW/ReadDirectoryChangesW und Co. würden dir zumindestens zeigen wo gerade etwas geändert wird,

den Benutzer ... da einfach den eingeloggten User auslesen


Wenn z.B. über den Explorer kopiert wird
Strg+C & Strg+V
oder via Drag&Drop
da würde bei Beginn des Vorgangs (dieser muß dann aber nicht ausgeführt werden) einige Einträge in der Zwischenablage erscheinen, welche man überwachen könnte.
(aber wie gesagt, hierfür reicht schon der Vorsatz aus, ob dann wirklich kopiert/verschoben wurde, das bekommt man damit nicht raus)