Sob o termo Rootkit, são resumidas as ferramentas de software que possibilitam, aos processos e arquivos, se disfarçar e, com isso, driblar a detecção pelo usuário ou seus softwares antivírus.

 

A tecnologia Rootkit, por si própria, não contém nenhuma função maliciosa, mas ela faz com que, através de sua utilização como disfarce, outros softwares ocasionalmente não percebam os softwares maliciosos, podendo assim funcionar sem que o usuário perceba, em segundo plano.

 

Mas, até mesmo em aplicativos comerciais sem função maliciosa, já foram inseridos Rootkits. Um exemplo bastante conhecido é: O XCP utilizado pela empresa Sony BMG que deveria ficar oculto em diversos CDs de música através da Tecnologia Rootkit.

 

Historicamente, o conceito por trás dos Rootkits é originado do mundo dos Unix, onde versões modificadas contribuíram para obter os direitos administrativos mais altos (roots) do sistema, sem deixar rastros.

 

Existem diferentes técnicas para a implementação de Rootkits, colocados em diversos locais do sistema. Por exemplo, os quase não mais propagados Rootkits de aplicativos, do Kernel ou do Userland.

 

No final das contas, o objetivo é ocultar determinados arquivos, conexões de rede ou processos. Por exemplo, o comando do MS DOS "dir" (abertura do conteúdo do diretório) pode ser manipulado de tal forma que os arquivos de fato existentes, que contêm o código malicioso, não possam ser exibidos. De forma similar, o mesmo é possível ao considerar o Registry do Windows ou ao listar as conexões de rede existentes.

 

A natureza técnica dos Rootkits dificulta, ao mesmo tempo, seu reconhecimento e remoção. Quando em funcionamento nos sistemas operacionais infectados por Rootkits, comprova-se que o seu reconhecimento e, principalmente, a remoção de um Rootkit ativo é difícil ou até impossível.

 

Os produtos de segurança G Data oferecem a possibilidade da criação de um CD de Boot baseado em Linux, com o qual o computador pode ser iniciado, a parte do sistema operacional. Com o verificador de vírus contido no CD, o sistema pode ser varrido em um estado no qual, se necessário, os Rootkits existentes no disco rígido não sejam ativados e, com isso, possam ser facilmente detectados.