是否可以在 Windows 上監視 dll 注入事件，例如偵測使用者模式 rootkit？

維基百科文章中有關使用者模式 Rootkit 的部分對於將程式碼注入正在運行的進程的機制不太清楚。這是否利用了正常的作業系統功能，因此可以（甚至現在可以）從相關的 Windows API 中進行監控？或者每次注入是否構成針對特定進程漏洞的獨特駭客攻擊，並且通常不依賴任何標準作業系統功能，因此檢測可能需要對記憶體中的進程可執行程式碼進行某種「簽署」？