В разделе статьи в Википедии, посвященном руткитам пользовательского режима, не совсем ясно, как внедрить код в запущенные процессы. Использует ли это преимущества нормальной функциональности ОС и может ли (или даже может быть прямо сейчас) отслеживаться из соответствующих API Windows? Или каждая инъекция представляет собой уникальный взлом, направленный на уязвимости конкретного процесса и, как правило, не зависящий от какой-либо стандартной функциональности ОС, так что обнаружение может потребовать своего рода "подписывания" исполняемого кода процесса в памяти?