Я не верю, что Process Monitor является инструментом для этого. Причина в том, что в нем перечислены сообщения и события Windows, а создание снимка экрана выполняется путем вызова функций API, главным образом, функции BitBlt .
Только продукт, который перехватывает необходимые вызовы API всех выполняющихся процессов, может обнаружить создание снимков экрана, обнаружив процессы, вызывающие такие функции, как BitBlt, в то время как их окна скрыты, свернуты на панели задач или иным образом не имеют причин для этого.
Доступна обширная информация о перехвате API, например,
Обучающее руководство по Windows API (Пример с внедрением DLL) .