@Metal Snake

Zitat:
We using our technology of direct parsing of system registry.
Zitat Ende

Diese Aussage bedeutet nicht das sie keinen Treiber benutzten, sondern das sie die Registry Binär öffnen und die einzelnen
Keys parsen. (also die Strings suchen)

Zitat:
Ich sollte villeicht mal echt versuchen die Registry werte aus dem Kernel direkt auszulesen.
Zitat Ende

Aus dem Kernel direkt kannst du nix auslesen. Du kannst entweder die entsprechenden APis im Usermode nutzen (dort sind es die NT-Funktionen, also die Native APis die auf dem niedrigsten Level zugreifen) oder im Kernelmode die ZW-Funktionen. (das geht nur via Treiber)
Und damit siehts in Delphi mau aus.

mfG Richard

//Edit kannst du mir mal bitte per PN das/den Rootkit/keylogger schicken mit dem du testest?