Para eso estan los Hooks y Rootkits puedes inyectar un dll al kernel y este puede ser el bicho o pude ser un monitor de tu bicho para que lo ejecute cuando no lo encuentre en memoria, tam bien puedes hookear la api TerminateToProcess esto no lo he hecho pero en teoria deberia funcionar para que antes de que algun proceso llame ha esta api se ejecute un modulo de tu programa y verifique que el proceso que va ha terminar no sea el tuyo en caso de que sea puede inavilitar esta api cambiandole los parametros etc. Por alli hay unos Manuales de EON, Mazard y Hendrix con lo que puedes empezar.

  Saludos.