Здравствуйте, visual_wind, Вы писали:

_>[...]
X>>Наверное можно еще сделать перехват CreateProcess и если эта функция вызывается в интересующем процессе, то передавать PID этого процесса ожидающей программе.

_>Если пойдете по этому пути, то, помимо написания драйвера, можно воспользоваться WMI. Пример можно найти здесь..

WMI может быть отключен.

В качестве альтернативы для ToolHelp-а предлагаю ловить EVENT_OBJECT_CREATE, только их будет много, и только если у процессов есть окна. Зато не надо по таймеру снимки делать, при этом снимки надо делать отдельно для 32 и 64 бит, а вот окна меж собой равны