（求证）HOOK 文件日志的记录和提取
本人小白，希望求证这几个方案是否有实现的可能。
1：用钩子提取开机、关机、应用程序使用、文档使用（office系列）情况（其中前三种已有系统日志记录）。
2：插入U盘等移动设备时，利用钩子自动对里面的文件进行处理。
3：文件写入U盘的同时对文件进行加密处理。（可以用钩子吗？）
希望各路大神能够指点迷津，告诉我方法的可行性，或者是否有更好的方法？以及应该学习哪方面的知识。

求学之路艰辛，希望贵人相助~~
[解决办法]
此类书不多，看《寒江独钓 windows 内核安全编程》吧，因为也没太多选择余地
[解决办法]

HOOK要对汇编有一定熟悉度，然后原理你了解了，说白了就是在关键的地方跳到自己的代码上进行执行，所以你要做的是“如何在关键的地方跳到自己的代码上”，这里面有2点要注意，1点是什么才叫关键，另外是如何跳。至于什么才叫关键，这要靠你通过调试找出，如何跳这个，就是改内存中的代码段，jmp到自己的代码上，处理完后再jmp回去。
[解决办法]

HOOK要对汇编有一定熟悉度，然后原理你了解了，说白了就是在关键的地方跳到自己的代码上进行执行，所以你要做的是“如何在关键的地方跳到自己的代码上”，这里面有2点要注意，1点是什么才叫关键，另外是如何跳。至于什么才叫关键，这要靠你通过调试找出，如何跳这个，就是改内存中的代码段，jmp到自己的代码上，处理完后再jmp回去。
对汇编确实不熟悉，大一下学了一点。。。看了一些HOOK的代码，似乎都有固定的格式，但又不像汇编代码，如果需要实现“1”需要怎么做呢？
看这个
Windows 文件系统过滤驱动开发教程（第二版）
http://www.whitecell.org/forums/attachment.php?aid=26
[解决办法]
可以下载pdf电子书看，如果像你所说的是自学且业余时间又不多，那相当困难，因为要涉及很多方面的知识。
《windows核心编程》有很多篇幅讲解hook且很权威，现在或以后都必须要看。
hook api 可以达到监控进程信息的目的，具体网上搜吧

另外，俺不是啥老师，也是编程刚入门者，大伙是同学
------解决方案--------------------

插入USB,每个窗口会收到WM_DEVICECHANGE