Ja! Mithilfe einer Modulenumeration (Schnapschuß bzw. Snapshot mit Übergabe der Prozeß-ID) lassen sich alle Module dieses Prozesse inkl. Pfad zur Datei über die Variable „szExePath“ aufspüren. Nach meiner Beobachtung ist immer die erste über den Modulschnappschuß erhaltene Datei (bzw. der erste erhaltene Eintrag) die Exe-Datei selbst, deshalb vermute ich, daß Windows so programmiert wurde, daß es immer so ist.

Die Funktionsweise kannst Du Dir auch über mein Programm „Prozesse“ (geeignetes Suchwort im Forum: „Prozeßbetrachter“) veranschaulichen; just heute lud ich eine neue Version hoch, die auch den exklusiven Zugriff auf die Kernelmodus- bzw. Ring-0-Prozesse ermöglicht.

Edit: Eine „saubere“ Unterscheidung zwischen System- und Nichtsystemprozeß sieht vermutlich allerdings anders aus. Einfache und Systemprozesse müßten sich in einer ganzen Reihe von Eigenschaften eindeutig voneinander unterscheiden.