Claro, pero por suerte esta el gran Tughack que seguro si lo sabe hacer ...

Eso SOLO funciona (en XP o superiores ya que sc no esta en anteriores versiones de Windows) si el servicio/driver tiene implementada la funcion de stop/unload.

Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn"  - en los recursos de version por ejemplo - Trata de reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...

dumpbin calc.exe /headers
Microsoft (R) COFF/PE Dumper Version 8.00.50727.42
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file c:\windows\system32\calc.exe

PE signature found

File Type: EXECUTABLE IMAGE

FILE HEADER VALUES
             14C machine (x86)
               4 number of sections
        4549B0BE time date stamp Thu Nov 02 09:47:58 2006
               0 file pointer to symbol table
               0 number of symbols
              E0 size of optional header
             102 characteristics
                   Executable
                   32 bit word machine

OPTIONAL HEADER VALUES
             10B magic # (PE32)
            8.00 linker version
           12E00 size of code
           18800 size of initialized data
               0 size of uninitialized data
           126FE entry point (010126FE) _WinMainCRTStartup
            1000 base of code
           14000 base of data
         1000000 image base (01000000 to 0102DFFF)
            1000 section alignment
             200 file alignment
            6.00 operating system version
            6.00 image version
            6.00 subsystem version
               0 Win32 version
           2E000 size of image
             400 size of headers
           39B6F checksum
               2 subsystem (Windows GUI)
            8140 DLL characteristics
                   RESERVED - UNKNOWN
                   NX compatible
                   Terminal Server Aware
           40000 size of stack reserve
            2000 size of stack commit
          100000 size of heap reserve
            1000 size of heap commit
               0 loader flags
              10 number of directories

Si cambias ese 6 por un 5 el error ese ya no se producira, aunque los dos programas que probe (calc y notepad) tienen funciones importadas que no existen en XP asi que tampoco cargan pero muesta otro error.

Los depuradores no te sirven (directamente) en este caso ya que la imagen es rechazada por el mismo loader, tendrias que depurar el loader (bajo el contexto del depurador) o para hacerla mas simple ejecutarlo desde cmd y depurar cmd.

¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.).

¿No es mas facil que inyectar codigo directamente crear un hilo cuya direccion de inicio sea invalida? 0xCACACACA por ejemplo 

De nadas 

El que corre el riesgo  Si hubieras abierto el WinDbg y hecho lo que comentaba al principio sabrias que es posible modificar esta funcion manualmente incluso.


Esta indocumentada como casi toda la NTDLL (DLL de modo Usuario).

http://undocumented.ntinternals.net/


Mira mi mensaje anterior:

ntdll!ZwQuerySystemInformation:
7c90e1aa b8220000c0      mov     eax,0C0000022h
7c90e1af c21000          ret     10h

En modo Usuario ZwQuerySystemInformation y NtQuerySystemInformation son la misma direccion (una es alias de la otra). Y lo que hacen es pasar a modo Kernel donde la nt!NtQuerySystemInformation se encargara de retornar los valores que como bien dice lo que citas solo estan disponibles (DIRECTAMENTE) en modo Kernel.

Me quedo con mi metodo, es mas generico (y mas legal ademas) ya que no solemos contar con el codigo de los programas que queremos analizar.

Probalo, el Task Manager (como la mayoria de programas - aunque no directamente -) usa esa funcion para enumerar los procesos.