Собсно вопрос: какие нужно перехватывать ф-ции в ring0 для отслеживания переименовывания файла? пробывал стваить хук на NtCreateFile, но она не вызывается при переименовывании...
NtSetInformationFile() с классом FileRenameInformation. Используется как для переименования так и для перемещения файла в пределах одного тома. Про способы фильтрации написал здесь - Механизмы фильтрации файловой системы.
