Win32,Lx/Solaris ... Es más por culturilla ya que he observado que sería un arma valiosa para la detección de nuevos virus Vs troyanos todavia sin catalogar = Ahora la importancia recae en poder observar el IO en tiempo Real, de esa forma puedes detectar la obertura de un fichero que no procede ...

La auditoria si no me equivoco y si no corrigeme, se basan en una comparación de info de ficheros cada X... una especie de ls -lart que se hacia antiguamente pero mejorado... q se basa en un barrido previo con la confirmación de veracidad, para un posterior barrido cada X para proceder a la comparación...

Es que a veces se me va la olla, y salen este tipo de preguntas. ;)

Aunque a efectos secundarios podría provocar un Overhead q te cagas en el Sistema, a no ser que este ya informe cada vez que se le invoque la funcion de IO sobre fichero.