Нам нужно было отслеживать все процессы. Вызовы реестра / Вызовы файловой системы / Создание процессов в системе (для модуля защиты от вирусов).
Также время от времени потребуется задерживать некоторые звонки или отклонять их.
Поддерживаемый способ сделать это RegNotifyChangeKeyValue
Большинство антивирусных контролеров, скорее всего, выполняют какую-то перехват API, вместо того чтобы использовать эту функцию. Есть много информации о перехвате API, например http://www.codeproject.com/KB/system/hooksys.aspx, http://www.codeguru.com/cpp/w-p/system/misc/article.php/c5667