Этот метод использует точку входа, работающего в пределах виртуальной среды regedit.exe. Перемещаясь по виртуальному реестру можно увидеть ключ HKEY_LOCAL_MACHINE\Software\Thinstall\ProcessList. В этом ключе легко увидеть список корректно работающих процессов.
Peter Bjork