Ça me paraît vraiment difficile à mettre en place.

Il faut que :
- ton "émulation" soit quasi-parfaite (sinon, risque que ça plante ou que les progs suspicieux puissent détecter qu'il ne tournent pas sur un "vrai" système)
- elle soit sans effet sur le système réel (sinon, tu n'as plus de sécurité)

Je vois les solutions suivantes :
- écrire un OS "virtuel" (un interpréteur, quoi) qui réimplémente une grosse partie de Windows et qui loggue tout -> boulot de dingue
- laisser une partie en "natif" et simuler le reste des fonctions -> gros boulot quand même, et problème de savoir quels sont les appels de fonctions qui ne sont pas considérés comme "dangereux"
- créer un Windows-dans-le-Windows en utilisant les DLLs d'origine du système -> pour autant que je sache, ce n'est pas possible, sauf en virtualisant complètement la machine (le principe de VMWare quoi) -> c'est lourd, et compliqué de synchroniser l'état initial de l'OS virtuel sur l'OS réel