Und während du die Registry nach deiner CLSID ausliest oder du deine DLL lädst machst du folgendes:

Scheiße den Angreifer im wahrsten Sinne des Wortes zu !

D.h. starte mehrere Threads die die Registry scannen, alle Pfade und Werte öffenet und ausliest. Du produziertst damit eine rießige Menge an Zugriffen auf die Registry. Das dauert normalerweise nur par Sekunden, aber ein Angreifer der seinen RegMON laufen lässt wird damit Millionen von Registryzugriffen beobachten. Das geht soweit das er enerviert das Ding erstmal abschaltet und er eben nicht frei Haus alles gechenkt bekommt.

So, das gleiche machst du mit der DLL im SYSTEM32 Folder. Starte mehrer Threads die diesen Ordner scannen, öffne jede DLL und lade die Bytes am Ende der DLL. Auch hier wird der FileMON des Angreifers zugesch..en.

Gruß Hagen