Мониторинг ввода-вывода, как ProcMon от Sysinternals
Как Process Monitor из Sysinternals отслеживает активность ввода-вывода файла, как это происходит? Если вы включите расширенную информацию, вы увидите, что вызовы, которые ранее были показаны как CreateFile, теперь отображаются как IRP_MJ_CREATE, что предполагает, что он перехватывает некоторые довольно низкоуровневые вещи. Кто-нибудь знает точно, что это зацепляет / как это работает?