Создание поведенческого блокиратора

[qwerc1]

Привет) В данный момент у меня стоит задача написания антивирусного блокиратора. Целевая система - Windows XP. Мне не нужно создавать эмуляторы, песочницы, прибегать к сигнатурному анализу.
В основе лежит поведенческий блокиратор всех фунциклирующих процессов. От этого момента задача делится на 2:
1) регистрация действия процесса
2) анализ поведения
Поиск по п.1 привел к необходимости перехвата вызовов API путем загрузки dll в удаленный поток целевого процесса. В общем, частично задача решена, только что в SYSTEM не могу пока подгружать…и жесткие тормоза и т.п.))) Т.е. в общем случае это – что-то наподобе filemon,regmon, API Monitor.
Поиск по п.2 привел к фэйлу. Сама идея как бы и понятна и непонятна. Я не нашел ни 1 методического описания построения цепочек подозрительных действий и т.д. . Только что на некоторых сайтах есть обобщенные описания действий. Кроме того, существует 1000 и 1 способ сделать 1 и тоже.
Вопросы:
1) Насчет п2. Имеет ли смысл разрабатывать эту тему? Че и как делать – не очень понятно. Хотелось бы развернутого ответа)
2) Если п1==true, правильно ли выбран метод слежения? Я не использую хуки, так как они не позволяют перехватить взаимодействия с файлами.
Скорее всего, я что-то упустил, но все же жду от вас понимания, сочувствия, комментариев по пунктам, вопросам. Заранее СПС.

[Utkin]

Даже если ты и создашь подобную систему на твою голову обрушиться тысячу проклятий, как и на всякие касперские и др. вебы. Любой самодельный инсталятор, отправка экзешника по сети или его распаковка (например с целью обновления программы) будут вызывать срабатывание твоей системы и соответственно лютую ненависть скромных создателей подобных творений.... Основная проблема таких блокираторов - огромное количество ложных срабатываний. Например, на обычный кряк программы...

[Alter]

Это типа HIPS, BSS. Кстати в Докторе Вебе нету этого.