El rootkit reemplaza la llamada legítima a EnumProcesses () con la dirección de su propia implementación. Su implementación llama al original, pero antes de devolver la lista, elimina cualquier mención de los procesos que se le ha dicho que oculte.
Si bien el comportamiento y el resultado son similares, considero que enganchar es un poco diferente, porque se puede hacer de manera legítima. El enlace generalmente se realiza a través de una API oficialmente soportada, y el sistema operativo rastrea todos esos enlaces para que pueda deshacerlos cuando finaliza el proceso de enlace. Aquí puede ver una descripción del mecanismo de conexión de Microsoft. En su lugar, el malware a menudo modifica directamente la memoria sin notificar al sistema operativo.