Здравствуйте, EreTIk, Вы писали:

ETI>В PE заголовке есть CheckSum (_IMAGE_OPTIONAL_HEADER), но для EXE-файлов процессов поле может быть некорректным и/или незаполненным.

О, а из запущенного процесса нельзя ли его извлечь?

Кто-то из малварей может и будет специально его портить. Но 70-98% не будут.

ETI>Лучше вынести все, что можно из драйвера в user mode, например, в Win32-сервис или просто утилиту. То есть делегировать не в отдельную нить, а унести всю обработку в свой user mode процесс (IOCTL/сообщения mini-фильров/разделяемая память через секции и события).

Ссылка наверно хорошая, но в данном случае заказчик за монолит.