От ядерного хука спасает только BlackLight, хотя можно так нарезать структуры EPROCESS что и он не поможет (однако, тогда процесс будет работать нестабильно, не сможет запускать дочерние).
Но все известные тупые идиотские ламерские ужасно даунские трояны, которые юзеры античата так любят использовать, молятся им и уважают их (пинч, xinch, и т д) - этому не подвержены, их авторам врядли хватило мозгов прочитать про ядро НТ, поэтому у них весь обход - влучшем случае -перехват NtQuerySystemInformation, на уровне юзера.
На wasm.ru есть статья "перехват API Win32", там есть в приложении - process master, он тебе то и поможет