Можно ли сделать дамп памяти пользовательского процесса из драйвера режима ядра?

В рамках курсовой нужно сделать драйвер антивируса под Windows 10. Необходимо реализовать отслеживание создания процессов и копирование его адресного пространства (дамп памяти), и в зависимости от дампа решить убивать процесс или разрешить ему выполнение. Отследить создание процесса можно с помощью PsSetCreateProcessNotifyRoutineEx. Я понял как завершить процесс, но как его приостановить для создания дампа, и чтоб потом ему можно было продолжить выполнение, мне не понятно. И вообще как сделать дамп памяти пользовательского процесса из драйвера ядра? И возможно ли это? Как я понял, функция MiniDumpWriteDump работает только в пользовательском режиме, а чего-то другого я найти не смог.