Dazu gibt es seit Windows 2000 eine undokumentierte Native
API im Kernel-Mode. Will heißen du müßtest tatsächlich einen Treiber schreiben und mit diesem kommunizieren. Wir hatten das Thema vor ein oder zwei Wochen, also bemüh' bitte einmal die Suchfunktion.
Achso, was Luckie übrigens meint, ist ein Toolhelp-Snapshot und der ist von daher unsicher, weil beispielsweise zwischen 2 Snapshots (nimmst du eine zu geringe Zeitspanne wird es lahm) eine weitere Instanz von Winword.exe starten könnte und die alte beendet wird. Dadurch bemerkst du im schlimmsten Falle nicht die Änderung. Es hieße also auch noch PIDs vergleichen ... und eigentlich (auf Windows NT/2000 ...) auch die Startzeit des Prozesses. Da kommst du mit der ToolHelp-
API aber nciht dran.