Как в MS хучат таблицу сервисов ядра

Недавно наткнулся на то, что мой драйвер, который мониторит SSDT начал падать на одной системе. Заподозрил, что это руткит который тоже лезет хучить SSDT. Посмотрел в таблицу и увидел что функции NtUnloadKey и NtFlushKey захучены каким-то драйвером uphcleanhlp. И файла такого на диске нет.
Тег «Далее»