>Хочу отловить момент появления процесса и остановить его выполнение.

либо перехватываем функции типа CreateProcess (из usermode), либо в режиме ядра посредством вызова PsSetCreateProcessNotifyRoutine устанавливаем callback-routine, которая будет вызываться при создании/удалении процесса