На мой взгляд это проверяется разве что только через маркер доступа. Ntoskrnl.exe экспортирует функцию ZwQueryInformationToken. Можешь проверить информационный класс TokenOwner. Если SID совпадает с LocalSystem – то гуд. Впрочем, можешь выбрать и другой инф.класс. Более детальная информация у Неббета.
