Una cosa muy interesante que me olvide de mencionar, es que el algoritmo de planificacion de la gama NT de Windows tiene como unidad minima el hilo y no el proceso. Algunos rootkits como el fu son capaces de "desenganchar" un proceso de la lista enlazada que mantiene Windows, entonces no lo ves ni con el taskmanager, ni con el Process Explorer ni con nada que dependa de esta lista. Se pensaria que entonces el S.O. no le daria tiempo de ejecucion pero al ser el hilo la unidad minima el proceso sigue funcionando perfectamente.

Incluso hubo alguna prueba de concepto de un rootkit que intentaba ocultar un hilo ("desenganchando" tambien) y modificar el codigo del planificador para que lo ejecutara igual. Es algo muy complejo y ningun software comercial lo hace por una cuestion simple: estabilidad.

Como decia, en Windows (SIEMPRE hablo de la gama NT, 9x esta obsoleto) no hay una tabla de procesos, solo hay un par de listas enlazadas y no hace falta inyectar nada ahi, crear un proceso es algo mucho mas simple, estable y efectivo. La clave esta en cargar un modulo de modo Kernel que sea capaz de interceptar todas la I/O que nos interese filtrar.