А>Какие ещё сильные на ваш взгляд фаеры можете предложить посмотреть?

Ох уж мне эти горе хакеры

То что любой существующий фаервол кроме аппаратно вшитого в сетевую карту и изолированного от любого управления со стороны локальной OS можно обойти из ядра по-моему и так не требует доказательств. Самый универсальный метод — перехватить регистрацию NDIS минипортов (на этом уровне насколько мне известно ни один существующий фаервол не работает) и включить в драайвер трояна собственную реализацию TCP/IP (облегченных open source вариантов можно наловить в инете).

А>Достаточно перехватить NdisRegisterProtocol() через EAT ndis.sys и запретить регистрацию протокола ZA — VSDATANT.

Я бы предположил что ZA в этом случае запищит что-нить о неправильной инициализации. Если уж делать что-то такое то нужно не фейлить вызов NdisRegisterProtocol а сэмулировать успешный вызов и подсунуть пустой список протоколов (как будто ни одного протокола и не установлено).Хотя можно даже обойтись без таких сложностей как перехват NdisRegisterProtocol, а просто снести все упооминания о ZA из реестра (и драйвер и управляющее приложение) и принудительно перегрузить систему.Пользователь может заметит, а может и не заметит.