Подскажите пожалуйста, что подразумевается под этим, в частности в утилите AVZ Олега Зайцева?
Я приблизительно догадываюсь что, только мне надо создать код (программу) для идентификации скрытых процессов и их нейтрализации. Давно этим не занимался, может есть готовые работающие примеры?
Одни затирают (тема Затираем следы в PEB), другие ищут концы, откуда это берётся. Сам я затираловым не занимась (детство давно не играет), а вот полезными вещами изредка занимаюсь. Заранее спасибо за совет.

| Сообщение посчитали полезным:

Для начала стоит почитать цикл статей Ms-Rem, в них довольно доступно разобраны популярные на тот момент методы скрытия. Принципиально ситуация не изменилась; сейчас даже сложнее манипулировать данными о процессах из user mode.
Дополнительно рекомендую изучить исходники Process Hacker.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
рекомендую изучить исходники Process Hacker.
Юпитер наверно имел ввиду Process Hunter от Ms-Rem'a

| Сообщение посчитали полезным:

Об Ms-Rem информация из гугла датируется 2007..2009 годами. Вот нашёл на wasm.ru: Поиск скрытых процессов, статья Ms-Rem. Буду изучать. Спасибо за информацию.

Вообще-то прорываться в таблицы дескрипторов процессов (потоков) из user mode связана с трудностями, было бы проще из driver mode и написать для этого драйвер и войти через дверь, а не через окно. Только опять же, нет примеров, во всяком случае у меня. В старом NTDDK тоже ничего подобного из сорцов не нашёл.

Вот, повезло:
Download Process Hunter 1.1 + sources (4 January 2006) http://dl.dropbox.com/u/3760172/PHunter%2BPowerKILL.rar
- там и драйвер даже есть, что радует. С паскаля в си придётся перегонять, но это не проблема. Уже есть основа!

| Сообщение посчитали полезным: