Однако если администратор соглашается запускать эти, казалось бы, вполне нормальные программы, модуль LKM будет перехватывать соответствующие команды и запускать собственные варианты    маскируя вмешательство хакера. С точки зрения системного администратора режим работы мониторинговых программ будет оставаться неизменным и внешне они будут функционировать совершенно нормально.
Некоторые популярные хакерские инструментальные LKM средства имеют довольно необычные названия, например: SuckIT, Knark, Rial, Adore, Tuxkit. Для более подробного ознакомления с различными инструментальными средствами, используемыми для создания хакерского инструментария, посетите Webузел Rootkit