Ich vermute mal, Du kannst Dir zu einem laufenden Prozess ganz einfach die gerade ablaufende Exe holen, und da schauste dann einfach rein. In psapi.dll und imagehlp.dll sind ja die wesentlichen APIs drin und auch dokumentiert. Die MS-eigenen Exen könnten zudem digital signiert sein, die zu verändern dürfte dann einen ziemlichen Aufwand bedeuten
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet.
" (Henning Richter)