'Obserwowanie' pliku lub folderu

W jaki sposob mozna wykryc czy jakas aplikacja odwoluje sie (otwiera, kopiuje, zapisuje czy cokolwiek innego) do jakiegos zdefiniowanego folderu/pliku, i w jaki sposob ewentualnie mozna jej na to nie zezwolic?

Samo monitorowanie mozna wykonac np. wykorzystujac funkcje FindFirstChangeNotification, FindNextChangeNotification. Ale, zeby nie zezwolic jak to np. robia programy antywirusowe to juz wyzsza szkola jazdy i przyznam szczerze, ze sam nie wiem. Napewno dla systemow opartych na NT robi sie to inaczej a inaczej dla reszty. Np. wirus win.cih 1.XX dzialajacy tylko w win 9.X i chyba milennium przydziela jakos sobie pamiec poprzez przerwanie int 3, i zmienia wpisy w tablicy przerwan (debugowalem go). Caly swoj kod tam laduje i tam nastepuje monitoring. Jezeli uruchamiasz jakis program to on to wykrywa i najpierw go zaraza a dopiero dalej daje mozliwosc wywolania kernelowej funkcji CreateProcess.
Sa metody drastyczne jak podpiecie sie pod biblioteke kernel32.dll, ale np. programy antywirusowe tego nie robia.
Jezeli bedziesz znal odpowiedz, lub ktos inny to niech napisze.