Требуется перехватить и подменить данные, которые читает софт с физического диска, вручную парся файловую систему диска и читая нужные ему сектора. Вариантов пока два (ядро): 1. Перехватить ZwReadFile и проверять, что за хендл, разбирать входные параметры и подменять значения 2. Перехват IRP. Но похоже что эта штука тоже палится... Еще есть варианты?
Ну если уж мы говорим об антируткитах, то и это тоже палится. Может быть не в пабликовых, конечно, и не во всех, но всё равно палится.
