имя процесса меняеть можно 2 способами через NtQuerySystemInformation // в этой функции надо проанализировать и заполнит структуру _SYSTEM_PROCESSES Второй способ захличаеться в изменении списка процессов ( есть такое в нулевом кольце ) в каждом элементе которого есть структура EPROCESS ... вот ее и изменяй. А вообще этот метод был описан в phrack 59 а также используется в небезизвестном PHIDE Путь к файлам пробуй изменять спомощью функции NtQueryDirectoryFile (читай статью на Wasm`e "Как стать невидимым в Windows NT" )
т.е. только перехватом? процесс не может изменить свое имя сам прямым редактированием соответствующих структур?
