Mal als Ansatzpunkt: welche Systemdaten haben denn zum Beispiel noch Prozess-IDs assoziiert? Um mal einfache Beispiele zu nennen: die Thread-Tabelle, etwas komplizierter werdend die Tabellen von File Handles, Mutexes, Semaphores, etc. (prinzipiell alle Handles) - tauchen dort PIDs auf, die nicht in der Prozessliste auftauchen, ist ein versteckter Prozess identifiziert.

Und mal mit dem Debugger anschauen, was die Win32-Funktionen zum Auflisten von Prozessen an unterliegenden NT-Funktionen aufrufen und es mit jenen direkt probieren - gibt es Differenzen? Billige Rootkits verstecken sich ggfls. nur auf Win32-Ebene.

Signaturbasierte Suchen können zudem etwa nachschauen, ob Mutexe/Semaphore mit fixem Namen existieren - bringt aber nur gegen jeweils konkrete Rootkits etwas.

Der Punkt, warum sich zu sowas kaum Code findet, dürfte sein, dass der Zeitaufwand hier einfach sehr hoch ist - viele Betriebssystemfunktionen sind offiziell far nicht und inoffiziell nur teilweise dokumentiert - und daher eben hauptsäclich für berufliche Anwender "interessant", die schon aus arbeitsvertraglicher Sicht nicht einfach Code zur Verfügung stellen können.