Вы не можете, по крайней мере, не из пользовательского режима. Вы можете скрыть свой исполняемый файл другими способами, начиная от обфускации и заканчивая пустым процессом, но вы не можете предотвратить его уничтожение. Причина в том, что любой другой процесс, даже в пользовательском режиме, имеет доступ к открытию дескриптора для любого другого процесса на уровне или ниже его уровня разрешений. Звучит так, как вы хотите: ObRegisterCallbacks из драйвера ядра.