Ein SSDT-Hook auf NtCreateProcess und NtCreateProcessEx

Außerdem: schonmal was vom Shared Computer Toolkit gehört?

Übrigens: das "Blocken" von Prozessen kannst du auch über die Policies machen (ist IMO ein ShellExecute-Hook) - allerdings basiert das auf einer Blacklist. Effektiver wäre eine Whitelist.