Возможно, вы захотите прочитать Windows Internals Алекса Ионеску, это прояснит вам ситуацию, начиная снизу, и поможет вам понять все это.
По сути, в прошломДрайверы фильтра файловой системы были сконструированы таким образом, чтобы он находился в правильном положении в точном файловом устройстве DEVICE STACK, например, NTFS.Таким образом, у вас будет возможность фильтровать IRP.
В настоящее время, что вы упомянули, диспетчер фильтров (FLTMGR) имеет свой собственный (устаревший) драйвер вверху и внизу стека устройств, иона позволяет зарегистрировать функцию обратного вызова, которая будет вызывать IRP каждый раз, и у вас будет возможность с ней справиться.
Фильтрация процессов (создание / удаление) немного отличается, она не обрабатывается с помощью IRP, в основномв потоке вызовов NtCreateUserProcess на стороне ядра есть функция, отвечающая за вызов любой функции, зарегистрированной для такого типа обратного вызова.
Я надеюсь, что она прояснит для вас вещи.