Eu não acredito que o Process Monitor seja a ferramenta para isso. A razão é que ele lista as mensagens e eventos do Windows, enquanto tira uma captura de tela é feito chamando as funções da API, principalmente Função BitBlt .
Somente um produto que conecta as chamadas de API necessárias de todos os processos em execução pode detectar capturas de tela, detectando processos chamando funções como BitBlt enquanto suas janelas estão ocultas, minimizadas, na barra de não tem motivos para fazê-lo.
Existe uma extensa informação sobre hooking de API disponível, por exemplo, Tutorial de Hooking de API do Windows (Exemplo com DLL Injection) ) .