В чём проблема сделать драйвер, который будет работать руткитом, скрывая "нежелательную" программу от тех, кто любит посканировать?
Это ведь настолько гениальная мысль, что до сих пор так и не пришла в голову близам и разработчикам ботов! Браво! Вам впору отсылать свое резюме каким-нибудь воротилам IT мира.
Это не панацея (потому что ещё есть проверки на внедрение стороннего кода в процесс клиента), но конкретную проблему "ой, оно сканирует список процессов" - решает.
Воротилам не воротилам, но я повидал различные коммерческие защиты на софте, которые и по заголовкам окон пытались палить, и по именам классов окон, и список процессов проверяли. Например, под XP/Висту была крошечная утилита HideToolz, эффективно пресекавшая подобные наивные попытки спалить отладчик и прочий "крякерский" софт. Под современные ОСи такое уже не катит, нужно лезть в режим ядра, соответственно, писать драйвер.
Следующим шагом разработчики навесных протекторов стали использовать замеры производительности, проверять некоторые модифицируемые отладчиком места в программе и некоторые функции. Всё это обходилось и обходится до сих пор - см.
ScyllaHide, например.
Всё это к тому, что таким макаром обходятся даже антиотладочные приёмы сложных навесных защит а-ля Themida и VMProtect (небезызвестная Denuvo, кстати, в своей основе имеет именно VMProtect). Говорить о том, что WoW теперь аж сканирует список процессов и это офигенная преграда ботам... наивно. Близзы, несомненно, всё понимают, но они ограничены тем, что WoW не устанавливает и не использует свои драйверы, чтобы иметь больше возможностей для борьбы. Пока что, близзы на это не идут. А вот
Иннова шла.
Иннова ставила свои драйверы в систему, чтобы эффективнее палить читеров и ботоводов. Их драйвер был смешной - он имел функцию "скрыть от непривилегированных программ указанный процесс", но не проверял, откуда ему пришла команда (от античита или откуда-то ещё). В результате, делом буквально пары дней оказалось написать утилиту, которая позволяла рулить этим драйвером в своих целях, например, скрывать отладчик от отлаживаемой программы. В 2005 точно так же
облажалась Sony, аудиодиски которой ставили в систему руткит для предотвращения копирования диска, но вот использовать этот руткит могли любые программы, в том числе и вредоносные