カーネルやユーザーモードのルートキットではなく、迂回路を設けてかならず通る道をつくちゃうルートキットがあるそうです。

このアドレス範囲チェックという検出方法には，効率のよい簡単な回避手段がある。Ntoskrnl.exeのアドレス範囲内に迂回路の入り口を設けておくのだ。
SSDT内のNtDeleteKeyエントリが指すアドレスは，Ntoskrnl.exeの範囲内に納まっている。SSDT関数の指すアドレスが所定の範囲内にあるかどうかだけを確認するツールだと，こうしたルートキットの活動は検出できない。