Каким образом Process Monitor из Sysinternals отслеживает активность операций ввода-вывода, как это происходит?Если вы включите расширенную информацию, вы увидите, что вызовы, которые ранее были показаны как CreateFile, теперь отображаются как IRP_MJ_CREATE, что предполагает, что он перехватывает некоторые вещи довольно низкого уровня.Кто-нибудь знает точно, что он зацепляет / как это работает?