Barrapunto

Un troyano en ring 0 en windows es invisible a los antivirus, detectores de malware y demás porque dicho software sólo puede actuar en espacio de usuario.

Eps! stop. Hay programas especificamente creados para "recorrer" dichas listas(porque las estructuras KEPROCESS y derivados si estan documentadas, mirate el DDK anda) que (las listas del scheduler) aunque no son publicas se han fusilado a base de reversing para detectar dichos "troyanos en ring 0" (en adelante rootkits). Si alguien tiene curiosidad que busque por ahi por rootkit unhooker / gmer o similares.

Hasta luego "superpro!" y aplicate lo que tu mismo dices, antes de decir "esto es asi" miratelo bien que metes la pata :)

Las listas son perfectamente manipulables, como cuando se sacaba un proceso de la lista de procesos (los EPROCESS).

Hay rootkits en ring 3 y rootkits en ring 0 no metas la pata tú.

Ningún software estando comprometido ring 0 es fiable para detectar rootkits, lo único fiable es hacer un volcado de RAM y reconstruir las estructuras en un ambiente sano. Cosa que demuestra más que no tienes ni idea de lo que hablas y que pones lo primero que encuentras en google.