Guten Tag,

mein ziel ist es folgende System Ereignisse abzufangen:
wenn eine datei erstellt, modifiziert oder gelöscht wird.

Der user selbst sollte mit einem dialog entscheiden können
ob das Ereignis genehmigt oder geblockt wird. Ich möchte keine Spy Software oder einen Rootkit erstellen!
Mein ziel ist es dadruch sensible Dateien zu schützen und zu überwachen.

Reichen SSDT-Hooks(API der NTOSKRNL.EXE: ZwCreateFile(wäre ZwCreateSection mit dem enstprechenden flag nicht besser?), ZwSetInformationFile, ZwDeleteFile) oder lieber mit einem Kernel-Mode Dateisystem Treiber so wie Filemon von SysInternals.

Über den ersten Lösungsansatz würde ich gar nicht erst nachdenken. Es geht eher in Richtung des zweiten Ansatzes (Filtertreiber).

Wiso? Würde es die Performance des Systems verschlingen, da Dienste wie ZwCreateFile auch für I/O Oberationen wie Devices benutze werden und somit sehr oft angewendet werden?

Jedenfalls hab ich mir schonmal das buch "O'Reilly - Windows NT File System Internals, A Developer's Guide"

Weil SDT-Hooks die letzte Alternative sind (falls es nicht anders geht). Zukünftige Versionen von Windows werden die Modifizierung von internen Kernel-Daten verhindern (unter x64 bereits jetzt).