メモリに展開された、真の実行イメージのスナップショットを採取する方法があれば、難読化的な細工は関係ないのかなあ。何かがアタッチしてきたら消滅、とかいう手も考えられなくはないけど、アタッチをイベントとして捕捉するというのは、結局のところ「デバッガーが起動したら」みたいな捉え方になってくるような気がするしなあ。でなければ、定期的にシステム状況を把握し直してキャッチアップか。
スナップショットを採るソフトウエアっていえば、メモリ状況を追いかけるデバッグツールとかがあったような記憶があるなあ。すごくレアな偽装っぽいけど、メモリに展開されたイメージを取得するのに使う機能（ファンクション）の目を欺くｗ、カーネルモジュールルートキット（ややこしーヽ(´ー`)ノ）とかもあり得なくはないかなあ。めんどくさそうだけど（笑）。
というか、OSの機能を使っている限り、それをフックされたり細工される可能性は残るんだよなー。となると仮想化？という話になるんだけど、仮想化自体のプロファイルを探られてしまうと仮想化がバレちゃってマトモに動作してもらえない、ということになる。バレないような仮想化があると良いんだけど、そもそも仮想化ソリューションって「バレないこと」を目的にしてないからなあ。
シマンテック*1が死蔵してしまったDecoyServerとかは、バレない仮想化っぽかったんだけどね。