...aber besser. Es ist doch besser dich ruft derjenige an, der etwas zu melden hat - als Metapher - als daß du ganz Deutschland abtelefonierst bis du denjenigen dran hast, der was zu melden hat. Oder?

Dafür würden deine Möglichkeiten im Usermode auch nicht ausreichen!

Was du bräuchtest wären (alle im DDK dokumentiert):
- PsSetCreateProcessNotifyRoutine (NT3/NT4/W2K/WXP/2K3)
- PsSetCreateThreadNotifyRoutine (NT4/W2K/WXP/2K3)
- PsSetLoadImageNotifyRoutine (W2K/WXP/2K3)
... sowie mindestens eine undokumentierte API, die ich jetzt nicht im Kopf habe. Ohne diese undokumentierte API bekommst du zwar Benachrichtigungen aber kannst den Prozess nicht vor dessen Ausführung killen. Die effektivste Methode, nämlich PsSetLoadImageNotifyRoutine() kannst du erst ab Windows 2000 einsetzen. Ansonsten bliebe dir noch eine letzte Methode, die zB von TrustNoExe eingesetzt wird - SSDT-Hooking bestimmter APIs um schon beim Laden des Images auch auf NT4-Systemen anzusetzen! Um es vorwegzunehmen: nein, es reicht nicht aus NtCreateProcess*() zu hooken, da man Prozesse auch anders erstellen kann. Einzig ein Image laden muß man immer um einen Prozess auszuführen (Forking geht natürlich auch anders ...).
Fazit: nochmal neu Programmieren lernen (nämlich KM-Treiber - die sind was komplett anderes als Usermode-Programme oder auch Services)!

... im Bruchteil einer Sekunde kann Malware schon ziemlich viel Schaden anrichten.

@perle: vergiß es ... ohne KM-Treiber kommst du da nicht sinnvoll und "ganzheitlich" weiter.