Есть такой руткит: hxdef100r Как я понял, он для скрытия перехватывает ZwQuerySystemInformation, и чтобы обойти перехват, я нарисовал свой вызов кода, реализующего функциональность ZwQuerySystemInformation (CustomZwQuery) Если руткит запущен, то через CreateToolhelp32Snapshot его не видно. Через ZwQuerySystemInformation тоже не видно. Он скрытый. Далее я вызываю свою ф-цию CustomZwQuery, и вижу этот руткит. Помечаю его в своём списке как скрытый. И с момента определения его через CustomZwQuery руткит вдруг перестает быть скрытым, и переходит в разряд видимых, т.е. он начинает определяться через CreateToolhelp32Snapshot. Что это за эффект? Это руткит пытается приспособиться к новой ситуации, и перейти из разряда скрытых в ряды законопослушных, чтобы не привлекать внимание, или же это вызов CustomZwQuery каким-то образом повлиял на работу CreateToolhelp32Snapshot? Что думают гуры перехвата? CustomZwQuery выглядит так: Код (Text): push param4 ;это 4 параметра совпадающие push param3 ;с параметрами ZwQuerySystemInformation push param2 ; push param1 ; push 0 ;этот push для имитации call, чтобы не сбить esp mov eax,0ADh ;это 3 инструкции с начала mov edx,7FFE0300h ;ZwQuerySystemInformation call edx ;вынесенные в мой код add esp,20
