IID>выделенное придётся перехватывать во всех процессах, которые _потенциально_ могут запустить новый процесс. Тогда прокатит. И во вновь запущенных опять перехватывать. Замечу, что может иметь смысл перехват ResumeThread — главный поток процесса всегда создаётся в состоянии suspended, после настройки импорта/etc. происходит его старт по ResumeThread. Перехватывая её, мы получаем уже полностью готовый к старту, но ещё не стартовавший поток.
при этом ещё неплохо бы учитывать, что
1. ранее запущенные проги могут получить поинтеры на ту же CreateProcess до установки хука, тогда им этот хук будет по боку...
2. если прога, которая ставит хук, будет запущена из-под экаунта юзера или гостя, то про надёжный перехват функций можно вообще забыть...

короче, тот классический трюк по Рихтеру с перехватом функций не кажется совершенством, но как вариант...