also mit dem First32Process o.ä. geht das mit dem Parameter szexepath leider nicht so einfach. Dieser gibt nur den absoluten Dateinamen an, ohne den Pfad zu der Exe.
An diesen kommt man über die Kommandozeile inkl. Parameter. Bsp.
Wodurch sich Systemprozesse noch von anderen Prozessen unterscheiden ist, dass der Firmenname auf "Microsoft Coporation" steht. Ich glaube auch, dass die Systemprozesse alle digital signiert sind und die meisten der frei rumlaufenden Viren/Trojaner/Bots nun eben mal nicht.

Also: Ein wirklich gutes Alleinstellungsmerkmal ist das Prüfen auf ein digitales Zertifikat und die Prüfung dieses Zertifikats. Wie man das allerdings anstellt, weiß ich nicht.

Bernhard