Вставлю и свои 5 копеек:
3)
http://rouse.drkb.ru/network.php там нижу есть пример сниффера - перехват входящих/исходящих пакетов
2)Приходит в голову только ReadProcessMemory
1)Есть функция PsSetCreateProcessNotifyRoutine которая позволяет выставить свою функцию, которая будет реагировать на запуск процесса. Но тут нужен свой драйвер. Насчет юзермода не знаю