Un rootkit è software sospetti non perché attacca o infligge danni a un computer, ma perché esso incorpora in sé profondo nel sistema operativo del computer, rendendo difficile da rilevare. Esso si nasconde nelle cartelle di sistema e cambia leggermente le impostazioni del registro di sistema per farla apparire come un file legittimo. Non fa molto tranne nascondere e attendere per un comando esterno da un utente o un programma per attivarlo. Ci sono attualmente quattro tipi conosciuti di rootkit.

Rootkit persistenti

Rootkit persistenti attivare durante il riavvio. In genere, un rootkit persistente si nasconde nel registro di sistema avvio, Windows carica ogni volta che il riavvio del computer. È difficile da rilevare perché imita le azioni dei file del computer valido e viene eseguito senza alcun intervento dell'utente. Virus e altri software dannosi possono piggyback su un rootkit persistente perché, oltre ad essere difficile da trovare, non va via quando un computer viene arrestato.

Rootkit basato sulla memoria

A differenza di rootkit persistenti, un rootkit basato sulla memoria è disattivato quando si riavvia un computer. Rootkit basato sulla memoria stessi incorporare nella RAM del computer (random access memory). La RAM è lo spazio temporaneo che programmi come Microsoft Word, Excel, Outlook e Web browser occupano quando questi programmi sono aperti. Quando si apre un programma, il computer assegna uno spazio nella RAM. Quando si chiude il programma, il computer rilascia lo spazio indirizzo per altri programmi da utilizzare. Il rootkit basato sulla memoria fa la stessa cosa. Occupa uno spazio di indirizzo nella RAM. Quando un computer viene arrestato, tutti i programmi sono chiusi, che svuota gli spazi di memoria, tra cui il rootkit.

User-mode rootkit

Un rootkit di modalità utente si infiltra il sistema operativo ancora più profondo. Archivia stesso nelle cartelle di sistema nascoste e il registro di sistema e vengono eseguite le attività fare da file di sistema validi. Un modo elude il rilevamento è che intercetta il software che altrimenti potrebbe rilevarlo. Il rootkit di modalità utente può incastonarsi su un programma che esegue la scansione per i virus. Quando il programma viene eseguito, il rootkit intercetta tale azione come se è quella che fa la scansione. Invece il programma di restituzione di un rilevamento, restituisce nothing.

Rootkit in modalità kernel

Un rootkit kernel-mode è anche più pericoloso di un rootkit in modalità utente. Modalità utente rootkit intercettare software valida per restituire un risultato diverso, ma corrono ancora processi che possono essere rilevati. Un rootkit kernel-mode si nasconde rimuovendo i processi associati con esso. Questo rende la scoperta più difficile, perché è come se il rootkit kernel-mode non esiste. Non compare nel Task Manager o qualsiasi altro software che consente di visualizzare tutti i processi in esecuzione nel computer. Rilevamento di rootkit in modalità kernel comporta una sofisticata tecnica di trovare discrepanze tra il registro di sistema.