У всех возник вопрос зачем? почему такая простая задача (папку надо шифровать, если она ntfs) решается на столько неадекватным способом?
Если я верно понимаю концепцию фильтров - регистрируешь I/O фильтр, мониторишь что кто куда и даешь при необходимости отлуп. В документации есть пример кода на примере мониторинга операции удаления файлов
