Раздел статьи в Википедии о руткитах пользовательского режима не совсем ясен относительно механизма внедрения кода в запущенные процессы. Использует ли это преимущества обычной функциональности ОС и, таким образом, может ли (или даже может ли быть, прямо сейчас) отслеживаться из соответствующего API Windows? Или каждая инъекция представляет собой уникальный взлом, нацеленный на уязвимости конкретного процесса и, как правило, не зависящий от какой-либо стандартной функциональности ОС, так что для обнаружения может потребоваться некое «подписание» исполняемого кода процесса в памяти?