Я перехватил NtCreateFile NtReadFile, но получить тотальный контроль над чтением файлов не получилось. Объясните пожалуйста какие еще механизмы использует Windows, чтобы прочесть файл. Вернее механизмы ясны (скорее всего используется Mapping), но ведь когда нибудь Mapping должен вызывать NtReadFile - или я ошибаюсь ?

[ Boychik: но ведь когда нибудь Mapping должен вызывать NtReadFile - или я ошибаюсь ? ]

Ошибаешься. Для того, чтобы отобразить файл в память NtReadFile не нужен. А когда он уже отображен, то чтение происходит просто по указателю, как при простом обращении к памяти. В этом и заключается главная фича мар-файлов.

Нет, это для программы кажется что она обращается к области памяти по указателю, но ФИЗИЧЕСКИ какой то механизм существует для подкачки страниц в память. Может правда исследовать как с этим делом управляется AVP ?

Ну механизм то канечно существует, но вот NtReadFile все равно не вызывается. Перед тем как изучать механизм, почитай "Внутреннее устройство Windows 2000" - сэкономишь время.

Изучил работу AVP. Штуковина тож делает перехват чтения файла и проверяет на вирей. Но использует не подмену системных вызовов, а драйвер-фильтр файловой системы.
Мдаааа... сколько я убил времени зря. Похоже это наиболее верное решение.