Der ProceExp besitzt einen Treiber, der ihm einige Jobs abnimmt. Beispielsweise könnten viele Handleinfos nicht ohne ein spezielles GFLAG gezeigt werden, es sei denn es gibt besagte K-Mode-Komponente

Dein Programm teste ich mal lieber nicht, weil ich weiß wieviel Malcode sich in >500kB verstecken kann. Sorry, soll keine Anschuldigung sein, sondern ist reine Vorsicht meinerseits.

Im K-Mode kann man im Endeffekt auch rausbekommen ob eine API gehookt wurde. Einfach mal in die Binärdatei auf Pladde gucken. Es gibt ja nicht nur den Speicher