Il termine rootkit è utilizzato per descrivere i meccanismi e le tecniche con le quali malware, inclusi virus, spyware e trojan, tentano di nascondere la loro presenza ai software di sicurezza, come antivirus e varie utilità di gestione del sistema. Ci sono diversi generi di rootkit a seconda che ad esempio vengano eseguiti in modalità utente o kernel.
Rootkit persistente
Si tratta di rootkit che si avviano automaticamente ad ogni avvio del sistema. Per funzionare devono esser memorizzati in archivi permanenti come nel registro o file di sistema.
Memory-Based Rootkit
Non resistono al riavvio del sistema, non si avviano automaticamente.
Rootkit che funziona in modalità utente
Un rootkit in modalità utente potrebbe ad esempio intercettare tutte le chiamate al FindFirstFile Windows / API FindNextFile, per enumerare il contenuto delle directory del file system. Quando un’applicazione esegue un elenco di directory che mostrerebbe la presenza del rootkit, questo le intercetta e nasconde le voci.
Rootkit che funzionano in modalità kernel
Un rootkit in kernel-mode può essere ancora più potente, in quanto, non solo può intercettare le API, ma può anche manipolare direttamente la struttura dei dati. Una tecnica comune per nascondere la presenza di un processo malware di questo tipo, è quello di rimuovere dalla lista dei processi attivi tale processo. In questo modo il malware non verrà visualizzato negli strumenti di gestione dei processi come il Task Manager.