Здравствуйте, Вумудщзук, Вы писали:

>>Хочу отловить момент появления процесса и остановить его выполнение.

В>либо перехватываем функции типа CreateProcess (из usermode), либо в режиме ядра посредством вызова PsSetCreateProcessNotifyRoutine устанавливаем callback-routine, которая будет вызываться при создании/удалении процесса

выделенное придётся перехватывать во всех процессах, которые _потенциально_ могут запустить новый процесс. Тогда прокатит. И во вновь запущенных опять перехватывать. Замечу, что может иметь смысл перехват ResumeThread — главный поток процесса всегда создаётся в состоянии suspended, после настройки импорта/etc. происходит его старт по ResumeThread. Перехватывая её, мы получаем уже полностью готовый к старту, но ещё не стартовавший поток.