rc = PsSetCreateProcessNotifyRoutine(*CreateProcessNoti fyRoutine, FALSE); - это как раз и есть фишка с помощью которой можно отлавливать запуск и заврешение программы. Компилится запросто. Пример был взят с rootkits.ru а именно: http://rootkits.ru/viewtopic.php?id=32

На счет процеов - я уверен что драйвер не будет истользовать на многопроцессорных системах.

О точно. Яже сначало сделал через READ. поэтому и оставалось irpStack->Parameters.Read.Length

нашел в чем была проблема. почему я не мог связаться с драйвером. по умолчанию при открытии нужно было возвращаться статус: STATUS_SUCCESS;
о чем я забыл.