Der Abschnitt des Wikipedia-Artikels zu Rootkits im Benutzermodus ist nicht ganz klar, was den Mechanismus des Einschleusens von Code in laufende Prozesse angeht. Nutzt dies die normale Betriebssystemfunktionalität aus und könnte (oder kann) es daher von der entsprechenden Windows-API aus überwacht werden? Oder stellt jede Einschleusung einen einzigartigen Hack dar, der auf die Schwachstellen des jeweiligen Prozesses abzielt und im Allgemeinen nicht von einer Standardfunktionalität des Betriebssystems abhängig ist, sodass für die Erkennung möglicherweise eine Art „Signierung“ des ausführbaren Codes des Prozesses im Speicher erforderlich ist?