Здравствуйте, kirill_kl, Вы писали:

_>Имя файла в данном случае определить нельзя. На таком низком уровне оперции происходят с блоками данных, а не с файлами. Имя файла можно было бы определить, если бы это был фильтр к драйверу файловой системы.
Ну можно где-нибудь сбоку выяснить размещение файлов на диске (full scan, однако) и от этого плясать.
Но непонятно, что делать с метаданными и короткими файлами, которые лежат в одном секторе со своим дескриптором.
Так что FSFilter и отлов запросов NonBuffered и/или PagingIo в IRP_MJ_READ/WRITE вам поможет.
Есть FileMon имени Руссиновича и filespy вместе с sfilter'ом имени IFS/DDK. Замечательно подходят в качестве заготовки.