¿Quienes los detectan? Si se ejecutan en modo Kernel tienen la misma capacidad que el Kernel u otro modulo de modo Kernel. Es el juego del gato y el raton ... Tanto como los paquetes que nombras, en Windows en realidad ni pueden salir sin que te enteres, no se trabaja directamente con todas las tarjetas de red del mundo sino que estas implementan el acceso al hardware y proveen una interfaz (definida por Microsoft y 3COM en su momento) homogenea. Con lo cual para ver si sale algo solo tenemos que monitorizar esas funciones ...