Cette méthode est documentée ici → Obtention de notifications de modification de répertoire

Procmon est un excellent utilitaire qui montre en temps réel les accès aux fichiers par les processus.
Reste a savoir comment il fait ?

Une piste peut etre sur la page→https://www.nirsoft.net/utils/opened_files_view.html.
Un programme de Nirsoft apparement similaire a Procmon qui fonctionne de la facon suivante:

OpenedFilesView utilise l'API NtQuerySystemInformation pour énumérer tous les handles dans le système.
Après avoir filtré les handles non-fichiers, il utilise un driver temporaire - NirSoftOpenedFilesDriver.sys pour lire les informations sur chaque handle depuis la mémoire du noyau.
Ce driver est automatiquement déchargé du système lorsque vous quittez l'utilitaire OpenedFilesView.

Sur cette page : Savoir quel fichier est utilisé par telle application : la liste des fichiers ouverts sur le système (pour 2k/xp/2k3) on peut télécharger un projet en VB qui ferait apparemment le taf

• https://docs.microsoft.com/fr-fr/windows/win32/fileio/obtaining-directory-change-notifications
• Voir aussi → JvChangeNotify.TJvChangeNotify class in JCL.
• Voir aussi → Travailler avec les Disques