Wäre machbar über Sicherheitslücken in der Abspielsoftware (oder ältere Versionen), evtl. Alternative Datenstreams (
http://www.pointstone.com/products/ADS-Scanner/ ).
Identifiziert werden die ja eh durch die Hashwerte.
Über Torrent/Emule sieht man die Verbindungen von denen man läd, da ja eine Verbindung hergestellt wird. Evtl. nicht im Programm selber, aber gibt genug Programme die das können (e.g. Wireshark)..