A seção do artigo da wikipedia sobre rootkits no modo de usuário não é muito clara sobre o mecanismo de injetar código nos processos em execução. Isso tira proveito da funcionalidade normal do sistema operacional e, portanto, poderia ser (ou até mesmo estar, agora) monitorado de dentro da API relevante do Windows? Ou cada injeção constitui um hack exclusivo destinado às vulnerabilidades do processo específico e geralmente não depende de nenhuma funcionalidade padrão do sistema operacional, de modo que a detecção possa exigir algum tipo de "assinatura" do código executável do processo na memória?