Вообще, такое возможно? Прочел статью МС-РЕМа про перехват API - чать 3. В предлагаемом исходнике программка пряталась от диспетчера задач и других утилит. Вопрос: можно ли скрыть файлы на диске и ключи в реестре? Хотя бы в теории..
Зачем Ring0?? Можно гораздо проще через Ring3 сделать через сплайсинг, SetWindowsHookEx ...(читай ту же статью, часть 1).
Скрывал первым способомю Как в первой статье, однако на такую ДЛЛ ругается AVZ и прочие утилиты... Хотелось бы что-то посерьезнее.. Скрывать требуется от проводника виндовского и прочих файловых менеджеров. От winhex вряд ли потребуется. Но главное - чтобы обнаружить факт сокрытия было очень сложно.
Хукай NtQueryDirectoryFile в ядре, примеры готового кода есть на rootkits.ru в kernel development pack, можно еще писать драйвер-фильтр файловой системы, что на порядок сложнее, но довольно подробно разбирается в книге "Руткиты внедрение в ядро windows" Хоглунда и Батлера.
Хук int 2eh/SysEntry путем модификации битов dpl IDT до уровня 0, копирование записи IDTR для 2eh в незанятое место, модификация обработчика исключений fs:[0] процессов ring3 чтобы он парсил системный вызов и соответсвенно редиректил этот вызов на незанятое прерывание.
