ЭХ.. всё что описано - это уже в данный момент устарело.
Взять хотябы тот факт что:
1) Хук SDT - gпроеряется проще простого
2) Хук INT2E/SYSENTER - тоже достаточно просто обнаружить
3) Скрытые процессе - банальное сканирования PIDов даже из юзермода уже выявляет 90% скрытых процессов. Более продвинутым может быть хук системного вызова с целью засечь активноесть приложения.
4) Всякого рода хода фильтры устройств - тоже выявляются быстро.
5) вообще быстро выявляются все такого типа замены.
Даже если драйвер был удален из таблицы драйверов, то всё равно спалится его адресное пространство в котором будет находиться хук.
6) сетевая активность какбы не скрывалась, всё равно её чаще всего можно выловить на уровне NDIS. Даже если драйвер сам работает с сетью через TDI, то всё равно код выполняется в контексте процесса system и по этому всё равно спалить мужно всякого рода сниферами.
7) спрятать файл на диске можно только через низкоуровневый фильтр файловой системы, другие методы вам мало помогут. Т.к. всегда при выявлении подозрительного кода со стороны ядра, можно побайтовым сканированием вверх и вниз от этого адреса найти PE сигнатуры или другие части кода, которые с легкостью смогут быть найдены через прямой доступ к винту, а там уже остается только затереть сингнатуры MZ и PE и файл больше не загрузится.

Так что практически все руткиты которые существуют на данные момент могут выявляться очень быстро и просто, исключение составляют только те тварения которые полностью контролируют систему на низком уровне или хотябы хукают функцкии через сплайсинг (т.к. это более тяжелее засечь)

// почесал репу, а мож самому стетейку написать по этому поводу? ///