Sämtliche Möglichkeiten, die er verwenden würde um den Pfad herauszubekommen, würden sich durch einen API-Hook manipulieren lassen.
Schließlich kann er als Programmierer auch nur Anfragen an das OS stellen. Evtl. wäre eine Kombination der drei hier aufgeführten Möglichkeiten noch eine grössere Hürde, die ein ein findiger Cracker aber eh in 5 Min umgangen hätte.
Daher Sinnlos sich da einen zu grossen Kopf drum zu machen @brechi.