Ο όρος rootkit χρησιμοποιείται για να περιγράψουμε τους μηχανισμούς και τεχνικές όπου κακόβουλα προγράμματα, συμπεριλαμβανομένων ιών, spyware και trojans, προσπαθούν να κρυφτούν από προγράμματα προστασίας από ιούς και spyware Υπάρχουν διάφορες κατηγορίες κατάταξης των rootkits ανάλογα με το αν το κακόβουλο πρόγραμμα συνεχίζει να υπάρχει μετά από επανεκκίνηση του υπολογιστή και με το αν εκτελείται σε επίπεδο χρήστη ή κελύφους.
Μόνιμα Rootkits
Ένα μόνιμο rootkit σχετίζεται με ένα κακόβουλο πρόγραμμα που ενεργοποιείται κάθε φορά που ο υπολογιστής ξεκινά. Αφού τέτοιος κώδικας πρέπει να ενεργοποιείται αυτόματα όποτε ξεκινά ο υπολογιστής ή όταν συνδέεται ο χρήστης, πρέπει (ο κώδικας) να αποθηκεύεται σε ένα μόνιμο σημείο, όπως το Μητρώο Εκκίνησης ή το σύστημα αρχείων και να βρει έναν τρόπο ώστε να ενεργοποιείται χωρίς την παρέμβααση του χρήστη.
Rootkits βασιζόμενα στη Μνήμη
Τα rootkits που βασίζονται στη Μνήμη είναι κακόβουλα προγράμματα που δεν έχουν μόνιμο κώδικα και για αυτό δεν ενεργοποιούνται μετά από επανεκκίνηση του υπολογιστή.
Rootkits σε επίπεδο χρήστη
Υπάρχουν πολλοί τρόποι με τους οποίους τα rootkits προσπαθούν να αποφύγουν την ανίχνευση. Για παράδειγμα, ένα rootkit σε επίπεδο χρήστη μπορεί να ανιχνεύει όλες τις κλήσεις στα APIs των Windows FindFirstFile/FindNextFile, τα οποία χρησιμοποιούνται από λειτουργίες διαχείρισης του αρχείων συστήματος, όπως ο Explorer και η γραμμή εντολών.Όταν μια εφαρμογή εκτελεί μια καταλογράφηση φακέλου που θα επέστρεφε τα αποτελέσματα που θα περιείχαν αρχεία σχετιζόμενα με το rootkit, το rootkit παρεμβαίνει και τροποποιεί τα αποτελέσματα της καταλογράφησης ώστε να μην φαίνονται τα αρχεία αυτά.
Rootkits σε επίπεδο Κελύφους
Τα rootkits σε επίπεδο κελύφους είναι ακόμα πιο ισχυρά καθώς, όχι μόνο παρεμβάλονται στα native API του επίπεδου κελύφους, αλλά μπορούν απευθείας να χειρίζονται δομές δεδομένων σε επίπεδο κελύφους. Μια συνηθισμένη τεχνική για να κρύβεται η παρουσία ενός κακόβουλου προγράμματος/διεργασίας είναι η αφαίρεση της διεργασίας από τις ενεργές διεργασίες στην λίστα του κελύφους. Αφού τα APIs που χειρίζονται διεργασίες βασίζονται στα περιεχόμενα αυτής της λίστας, η κακόβουλη διεργασία δεν θα φαίνεται σε εργαλεία διαχείρισης εργασιών όπως το Task Manager ή το Process Explorer.
