Могу сказать бред но в windows ведь существуют windows хуки, возможно идет просто перехват вызова какой та win api функции?

собстно вот что попалось http://www.delphimaster.ru/cgi-bin/forum.pl?id=1169702635&n=4

http://forum.vingrad.ru/forum/topic-274596.html

http://forum.sources.ru/index.php?showtopic=64539

http://209.85.135.132/search?q=cache:AP24llyoW7AJ:www.rsdn.ru/forum/winapi/1125340.1.aspx+winsock+%D0%BF%D0%B5%D1%80%D0%B5%D1 %85%D0%B2%D0%B0%D1%82+winapi&cd=1&hl=ru&ct=clnk&gl =ru

как вариант -
HKLM\SYSTEM\ControlSet???\Services\Tcpip\Parameter s
тут есть ключек DataBasePath
в него записывается путь к папке с базами.
подефолту там %SystemRoot%\System32\drivers\etc
по идее ты моще создать другую папку. Туда кинуть всё сожерживое этой папки. попутно подправив hosts и изменить в реестре адрес этот на свою папку.
Всё хорошо, но тока палится это вроде. каспер 6 точно палил

работать это вроде будет тока после перезагрузки.
Но фишка в том, что последнйи аутпост при полной проактивке не палит это )

P.S. как вариант можно какнить в винде изменить адрес первичного и вторичного DNS сервера. И вот запоминаеш этот адрес. вместо него пишеш нужный тебе адрес DNS сервака. И всё норм. теперь все DNS будут проходить через тебя и там ты можеш подменять адреса

Можно таблицу маршрутизации изменить и пустить нужный трафик на себя.

2 0rs для большого числа компов это неподойдет. потому как ты должен будеш выступать сам в роле шлюза и весь траф будет идти через тебя. А это однако напряжно при большом кол-ве компов.

Не весь, а только тот, что перенаправишь.
У нас в локальной сети довольно долго какой-то троян гулял. Удаленно изменял таблицу маршрутизации на компе у жертвы и при запросе html страниц дописывал в начало вредоносный скрипт.

таблица маршрутизации - все трои так и норовят в туда)

вот такие патриоты ФСБ - хостятся на американской Level3.

устанавливаю в
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameter s
HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameter s
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters

поле DataBasePath типа REG_EXPAND_SZ
значения %SystemRoot%\System32\drivers\my

копирую туда содержимое папки etc (правлю хостс), из папки etc все удаляю.

Ребут - болт. Редирект не работает.
Проверяю ключи - все на месте. Записываю в папку etc обратно файл hosts, ребут - редирект снова работает.

Пробовал:
1. 2 различных винды(и соотв. 2 разных компа). Zver SP3 и лицензионную полностью чистую винду Home Edition SP2.
2. не просто удалять все из папки etc, но и удалять её саму.
3. в поле DataBasePath ставить тип REG_SZ и писать значение C:\WINDOWS\System32\drivers\my
4. полностью удалять ключ DataBasePath (hosts по-прежнему работает из стандартной папки)
5. переименовывать в папке my файл hosts в hosts.sam
6. Юзал ipconfig /flushdns и ipconfig /registerdns (все равно, даже при удаленном ключе работает оригинальный файл hosts а при отсутствии hosts там где положено - редиректа вообще нет)

все это, естественно, чередовалось с ребутами.
Во всех случаях hosts продолжал по прежнему читаться из стандартной папки etc и не из какой другой.

Примечения:
1. папка etc во время работы винды блокируется файлом c:\windows\system32\svchosts.exe, т.е. не может быть удалена в лоб.
Блокируется даже в случае, если ключ в реестре изменен на свой, или же вообще отсутствует.
Но даже если её разлочить и удалить - это ничего не меняет.
2. чем отличеются 2 моих компа (из которых один - свежеотформатированный ноут, куда я залил чистую лиц. ХР2) от миллионов других - ну разве что тем, что работают через роутер DLink.
3. гуглил долгое время... указанный способ соответствует действительности и в общем-то уже весьма широко-известен.
Хотя ни 1 репорта, подобного моему - не встретил, а все что были - лечились через /flushdns

фигня какая-то