Et rootkit er mistænkelig software ikke fordi den angriber eller påfører skader på en computer , men fordi det integrerer sig dybt ind i computerens operativsystem , hvilket gør det svært at opdage . Det skjuler sig i systemet mapper og subtilt ændrer indstillinger i registreringsdatabasen for at gøre det fremstå som en legitim fil. Det gør den ikke meget undtagen skjul og vente på en ekstern kommando fra en bruger eller et program for at aktivere den. Der er i øjeblikket fire kendte typer af rootkits . Vedvarende Rootkits

Persistent rootkits aktiveres under genstart. Typisk , en vedholdende rootkit skjuler i opstart registreringsdatabasen, som Windows indlæser hver gang computeren genstartes. Det er svært at opdage, fordi det efterligner handlinger gyldige computerfiler og det udfører uden brugerinput . Vira og anden skadelig software kan piggyback på en vedvarende rootkit , fordi bortset fra at være svært at finde , det ikke går væk, når en computer lukker ned .
Hukommelse- baserede Rootkits
< br >

modsætning vedholdende rootkits er en memory-baserede rootkit deaktiveres , når en computer genstarter. Hukommelse- baserede rootkits integrere sig i computerens RAM ( Random Access Memory ) . Det er RAM midlertidig plads , at programmer som Microsoft Word, Excel, Outlook og webbrowsere besætte , da disse programmer er åbne. Når man åbner et program , computeren allokerer en plads i RAM . Når du lukker programmet , computeren frigiver denne adresse plads til andre programmer til at bruge . Den hukommelse -baserede rootkit gør det samme . Det indtager en adresse plads i RAM. Når en computer lukker ned , bliver alle programmer lukket, hvilket tømmer hukommelsen rum, herunder rootkit .

User -mode Rootkits

En bruger -mode rootkit infiltrerer operativsystemet endnu dybere. Den gemmer sig i skjulte system mapper og registreringsdatabasen og udfører de opgaver udført af gyldige systemfiler. En måde er det unddrager afsløring er, at det opfanger den software, der ellers kunne opdage det. Brugeren -mode rootkit kan integrere sig på et program, der scanner for virus. Når programmet kører , rootkit aflytninger som action , som om det er den ene gør det scanning. I stedet for programmet returnere en afsløring, returnerer den ingenting.
Kernel -mode Rootkits

kernel -mode rootkit er endnu mere farlig end en bruger -mode rootkit . Bruger -mode rootkits opsnappe gyldige software til at returnere et andet resultat , men de stadig køre processer, der kan påvises . En kernel -mode rootkit skjuler sig ved at fjerne de processer , der er forbundet med det. Dette gør afsløring hårdere, fordi det er som om kernel-mode rootkit findes ikke. Det vil ikke dukke op i Task Manager eller anden software , der viser alle processer, der kører på computeren. Påvisning af kernel -mode rootkits indebærer en avanceret teknik for at finde uoverensstemmelser mellem systemet registreringsdatabasen .