ROFL. Usermode-Rootkits sind ja so oder so lächerlich. Schon von daher

Es gibt natürlich (fast) *immer* Wege. Allerdings ist auf NT der Weg sinnvoller, den Prozess durch ACL-Anpaßung unbeendbar zu machen. Daher kann der Normalbenutzer ja auch Serviceprozesse sehen, sie jedoch nicht beenden. Der Code dürfte jedoch durchaus funktionieren, wie er hier steht.

@ATH0: Haste den Code schonmal mit eingeschränkten Nutzerrechten probiert?
... der Thread ist ja wohl endgeil ...