> Откуда инфа? Насколько я помню, брандмауэр использовал штатный виндовый механизм pluggable
> protocol (не помню, как точно называлось), т.е. ставил свой драйвер, реализующий
> сокеты. Этот их драйвер-перехватчик после фильтрации перенаправлял вызовы штатному драйверу.

От Оли. Обходил прямо в ней ;)
Однако, вполне допускаю за давностью лет (~2003 +- год), что это все же вполне могла быть и "грозная" защита от инжекта кода в процесс из белого списка (т.е. браузер).
Еще оно когда-то ловилось на кастомных путях в импортах (можно было "импортировать" DLLку из интернета, прописав ее адрес) но это пофиксили достаточно быстро :)

А вообще, еще году в ~2008 не все из топа "суперзащитников" перекрывали не слишком тривиальные пути инжектов – например, OpenProcess/WriteProcessMemory/CreateRemoteThread в чужой процесс прилежно отлавливали, однако вполне можно было делать хитрые финты ушами типа SuspendThread, SetThreadContext (REG1 = Content1, REG2 = ..., IP = "mov  dword ptr [REG1], REG2); JMP-2", ResumeThread.
Благо найти нужную последовательность пары опкодов в какой нибудь системной DLLке абсолютно не проблема.

Еще, абсолютно не отлавливались (в том числе и антивирями – возможно, разве что в режиме "параноик") разные манипуляции с собственным чайлд-процессом. Вангую, что из-за распространененности всяких разных защит от "крякеров".
Чему все киддисы и не только они, были очень рады, т.к. это позволяло достаточно просто расшифровывать (и перезаписывать) экзешники прямо в памяти (причем, даже c помощью VB6), уже после проверки антивирем при запуске.
Метода (RunPE,http://web.archive.org/web/20120328114901/http://www.securit... ) известна с 2004, широко применялась с конца 2005, имеет весьма специфичную последовательность АПИ вызовов, но вариации с использованием NtFooBar API прокатывали на всех антивирях и прочих защитниках даже десять лет спустя.

> Это, кстати, имело некоторые побочные эффекты. В винде была возможность вызывать ReadFile
> с хэндлом сокета. Не помню, это официально разрешалось или это была недокументированная возможность.

Обращение к наружному серверу Webdav  (через Create/ReadFile и UNC путь) прокатывало как минимум до ~2015 года (это я в последний раз тыкал все  палочкой в Comodo, Outpost и Kaspersky).
У касперского еще  можно быле через виндовы DNS сервис "сливать инфу". Тыкал чисто из любопыства, на демо-триал-версиях.

Вообще, если интересно, можно заглянуть сюда:
http://www.matousec.com/projects/proactive-security-challeng...
даже "топы топов" там ловили далеко не все:
http://www.matousec.com/projects/proactive-security-challeng...

ЧСХ: cама страничка была доступна как минимум с ~ 2006, тесты с сорцами можно было скачать тоже достаточно давно (да и нет там ничего излишне мудреного), но закрывать дыры никто из торговцев змеиным маслом ^W^W "сикурностью" особо не стремился.