Dein Hook hat natürlich nur auf Prozesse Zugriff, die in seinem Kontext laufen, bzw. für die er die Rechte hat.

Als Admin ausgeführt würde er auch Zugriff auf die Adminprozesse haben.


PS: außerdem ist der Zugriff auf einen anderen Desktop sowieso gesperrt.
z.B. die Admin-Passwortabfrage (UAC) läuft in einem anderem Desktop, damit "böse" Programme (Keyboardlogging oder Eingabesimulation) keinen Zugriff darauf haben.