Indem du ganz gepflegt die gleiche Methode verwendest. Und die wäre diese:
1. Du lernst C/C++ und NT-Treiberprogrammierung (für Windoes 9x natürlich VXD-Programmierung)
2. Du schreibst einen Treiber und einen Service welcher mit dem Treiber kommuniziert
3. Der Treiber muß diverse APIs im Kernelmode hooken
4. Dein Tool zeigt die Ausgabe dessen an, was der Hook abfängt.
Voila. Das war's schon. Viel Erfolg.
Wenn irgendjemand meine "wilden Hypothesen" verifizieren möchte, mag er sich seinen Lieblingsressourceneditor/-betrachter zur Hand nehmen und in ebendiesem alle Ressourceneinträge unter "BINRES" betrachten. Für eine weitere Analyse empfiehlt sich dann ein Disassembler, wie z.B.
IDA.