Beh, il modulo del kernel consente ben poco. Si tratta solamente di poter scrivere su file, senza modificarne la dimensione. Quindi, il reverse engineering è tutto qua...
Per quanto riguarda il progetto Captive (esterno), l'abilitazione alla scrittura incondizionata su NTFS è dovuta al fatto che vengono usati proprio i file originali sfruttati dagli stessi sistemi operativi Microsoft.