Демонстрация: x64 Windows Rootkit — скрытие процесса

Поднять текущее ядро до уровня диспетчеризации, затем все ядра до уровня диспетчеризации, затем пройти по списку активных процессов, найти EPROCESS по имени (поддерживает более 15-символьные имена), разблокировать все ядра и вернуться на пассивный уровень. Все это гибко делается через IOCTL-коммуникацию с приложением UM.

Пожалуйста, воспользуйтесь возможностью и поделитесь этим видео с друзьями и семьей, если вы найдете его полезным.