维基百科文章中关于用户模式 rootkit 的部分没有明确说明将代码注入正在运行的进程的机制。这是否利用了正常的操作系统功能,因此可以(或者现在可以)从相关的 Windows API 中监控?或者每次注入是否构成针对特定进程漏洞的独特黑客攻击,并且通常不依赖于任何标准操作系统功能,因此检测可能需要对内存中进程的可执行代码进行某种“签名”?
维基百科文章中关于用户模式 rootkit 的部分没有明确说明将代码注入正在运行的进程的机制。这是否利用了正常的操作系统功能,因此可以(或者现在可以)从相关的 Windows API 中监控?或者每次注入是否构成针对特定进程漏洞的独特黑客攻击,并且通常不依赖于任何标准操作系统功能,因此检测可能需要对内存中进程的可执行代码进行某种“签名”?