Ganz einfach: Man nehme eine DLL, injeziere sie in jeden prozess der auf dem rechner läuft, lasse sie diverse funktionen durch eigene ersetzen, die zwar die originalfunktionen aufrufen, ABER das ergebnis etwas verfälschen, und schon gibt es (scheinbar) einen prozess weniger ...
Das ersetzen von Funktionen (im Speicher eines Prozesses) nennt man übrigens API-Hooking.
Um alle Prozesse dazu zu bringen eine DLL zu laden braucht man natürlich Admin-Rechte.

ciao, Philipp