La sección del artículo de Wikipedia sobre rootkits en modo usuario no es muy clara sobre el mecanismo de inyección de código en los procesos en ejecución. ¿Esto aprovecha la funcionalidad normal del sistema operativo y, por lo tanto, podría (o incluso puede ser, ahora mismo) monitoreado desde la API de Windows correspondiente? ¿O cada inyección constituye un truco único dirigido a las vulnerabilidades del proceso específico y generalmente no depende de ninguna funcionalidad estándar del sistema operativo, por lo que la detección podría requerir algún tipo de "firma" del código ejecutable del proceso en la memoria?