Der benutzte Treiber ist HFSYS.SYS im Treiber-Verzeichnis von Windows.
Der Treiber ist ein FS-Filtertreiber und erzeugt \Device\hfsys und in "\??" (aka "\DosDevices") einen gleichnamigen Symlink auf o.g. Gerät.
Desweiteren würde ich das Produkt nicht kaufen, weil es offensichtlich eine Debugversion ist, die hier verkauft wird.
Unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\HFSYS\Parameters

Sind in "verschlüsselter" Form die versteckten Items aufgelistet (Item0 ... ItemX und ein Counter).
Die API FsRtlAreNamesEqual wird benutzt um zu überprüfen, ob ein Verzeichnis gefiltert werden muß!

Das ganze könnte man mit etwas Aufwand soweit auseinandernehmen, daß man die Funktionen nachempfinden kann. Einfacher wäre es aber IMO selber gleich sowas zu schreiben.
Der Autor hatte im übrigen DriverWorks (hat also mindestens C benutzt) und muß demnach auch das DDK besessen haben (wobei das W2K DDK bis vor einiger Zeit noch auf dem MS-Server kostenlos verfügbar war - inzwischen nicht mehr).
Der Admin kann den Filter einfach umgehen, indem er den Treiber entfernt (jedes andere Programm, das in SYSTEM läuft, kann das auch ) ... eventuell kann man auch die IOCTLs sniffen und so rausbekommen, ob man auch selbst diesen lustigen Treiber steuern könnte.
Ich mach erstmal den Neustart um die Deinstallation zu komplettieren.

NB: Außerdem hieß das Teil vorher scheinbar mal Hide Folders 2K (HF2K) *g*