Im Prinzip bedeutet das, dass unter anderem die APIs Module32First und Module32Next nicht mehr den wirklichen Namen des Moduls auslesen können. Das "Maskieren" mittels dieser Technologie ist unabhängig davon, ob ModRenamer nach dem Verstecken beendet wird oder nicht. Es werden keine DLLs injiziert und keine APIs gehookt.
Das Programm ist kein Virus und erzeugt keinerlei Registryeinträge. Die Änderung erfolgt durch direkte Speicherzugriffe und Zugriffe auf undokumentierte Native-API Funktionen unter NT-basierenden Windowssystemen.
Testen lässt sich dies mit jedem "Taskmanagertool", das neben einem Prozess auch dessen geladene Module (DLLs) anzeigt. Geschrieben habe ich dieses Testprogramm, um Tools testen zu können, die so "maskierte" DLLs auffinden können.
