Под какой системой? Если под виндой то утилиты русиновича пока вроде никто не превзошел. Правда сорцы их сейчас очень сложно достать... Если под никс то эта тема очень интересная. Надо копать в сторону VFS и файловой системы /proc
статьи лучше не читать разобраться с планированием потоков в системе все есть в wrk собираешь ядро и в отладчике разбираешься либо просто по исходникам
Есть какието способы сокрытия от статического поиска, но динамику сокрыть не получится. Процесс определяется не только идентификатором, любое значение уникальное для процесса может служить для его поиска. Вопрос в том, что дальше с этим значением делать. Например адрес обьекта(EPROCESS) и пр. Каждый процесс имеет уникальное адресное пространство. А оно определяется адресом каталога страниц, который в PDBR(Cr3). Адресное пространство необходимо потокам, если их нет то процесс не нужен. А если есть рабочий тред, то он по любому будет чтото вызывать, даже если он того не хочет - прерывания. Тоесть мы например шлюз прерывания хватаем и создаём список каталогов страниц. Обойти это не получится, чтение регистра управления запретить или отследить нельзя.
