HV>Да, 1-е. Серьозный метод получения уведомлений.
Тогда однозначно — писать драйвер.
Для мониторинга операций с файлами — драйвер-фильтр файловой-системы. Это не сложно.
Для мониторинга созданий процессов (aka запуска исполняемых файлов) — PsSetLoadImageNotifyRoutine() и PsSetCreateProcessNotifyRoutine() Kernel API.
HV>Win XP/2K/2k3.
См. выше. Такое решение как раз будет переносимым.
HV>Я думаю там всё эдентично.
