Běžným postupem proti ladění je přepsání funkcí, jako je DbgUiRemoteBreakin, v rámci ntdll.dll.
Protože reprezentace běžných knihoven v paměti je na každé platformě vždy stejná, mělo by být možné, aby se externí nástroj připojil k procesu a porovnal kód knihovny v paměti s odkazem, aby našel jakékoli manipulace provedené samotným procesem.
Znáte někdo takový nástroj pro Windows?