Barrapunto

¿?
Como se nota que poco conoces de programacion de drivers de Windows y metodos "poco ortodoxos" para engancharse al sistema.
Te dare pistas, busca info por ahi de hooks en la ssdt, cambiar los punteros de una estructura de device object,etc.. y .. hay mas!!! (y todo ello sin usar "el sistema subyacente para hookearse" .. que supongo te referiras al infame y poco util IoAttachtodevice xD)
Ah, btw, un rootkit de ring 0 no necesita cambiar binarios, se puede quedar en un alternate data string, puede dropear su propio driver (y ocultarlo en el sistema de ficheros,etc) .. de hecho, la infeccion de PE's es algo practicamente en decadencia y que, solo a nivel experimental hicimos un colega y yo algunas pruebas con la "Hal.dll" (que si alguien no lo sabe, corre en kernel).


Te repito, quedate con las forenses de Linux... que de Windows por dentro vas un peli perdidete :)

Adicionalmente, una cosa, es hacer forenses (lo que tu) y la otra es tener que currarse el driver N (lo que a mi me ha tocado en largos momentos de mi vida) :P y.. tener que hacer que funcione! xD

Te dare pistas, busca info por ahi de hooks en la ssdt

¿De qué te crees que te estoy hablando? de syscall hijacking. Pero hay muchas otras formas sacar al proceso de la lista de procesos y ocultarlo y muchos más.

Tiene huevos que digan que un antivirus que usa una tabla de llamadas comprometida tiene algún tipo de fiabilidad.

Ah, btw, un rootkit de ring 0 no necesita cambiar binarios

¿No puse antes ésto en mayúscula porque después de ponerlo veinte veces antes y que me siguen poniendo que tripwire los caza?