A seção do artigo da Wikipedia sobre rootkits em modo de usuário não é muito clara sobre o mecanismo de injeção de código em processos em execução. Isso aproveita a funcionalidade normal do sistema operacional e, portanto, pode ser (ou até pode ser, agora) monitorado a partir da API relevante do Windows? Ou cada injeção constitui um hack exclusivo direcionado às vulnerabilidades específicas do processo e geralmente não depende de nenhuma funcionalidade padrão do sistema operacional, de modo que a detecção pode exigir algum tipo de "assinatura" do código executável do processo na memória?