A rootkit gyűjtőfogalomba azok a szoftver eszközök tartoznak, amelyek a fájlok és folyamatok láthatatlanságát biztosítják, és ezzel meggátolják az alkalmazó, illetve a vírusirtó szoftver általi felfedést.

 

A rootkit technológia önmagában nem tartalmaz káros funkciót, rendeltetése az álcázás, amivel többek között a káros szoftverek ártalmatlannak tűnnek, és így a felhasználó által észrevétlenül működhetnek a háttérben.

 

Még az elsődlegesen ártalmatlan kereskedelmi alkalmazások is alkalmaznak rootkiteket. Egy jól ismert példa: A Sony BMG által használt XCP, ami a különböző zenei CD-ken a rootkit technológia segítségével észrevétlenek marad.

 

Történeti megközelítésből a rootkit koncepció a Unix világából származik, itt bizonyos rendszer parancsok módosított változatai azt segítették, hogy a rendszeren elérhesse a legmagasabb adminisztrátori jogosultságot (root) és mindeközben ne hagyjon nyomot maga után.

 

A rootkitek behelyezésére különféle lehetőségek kínálkoznak, amiket a rendszer legkülönbözőbb pontjain lehet alkalmazni, pl. az eddig még alig-alig elterjedt Application-Rootkit, valamint a gyakoribb Application, Kernel vagy Userland-rootkitek.

 

Az összes közös vonása a saját érdekű alkalmazási cél, ami nem más, minthogy bizonyos fájlokat, hálózati kapcsolatokat, folyamatokat elrejtsen a szem elől. Például az MS-DOS parancsok kiadása "dir" (a könyvtár tartalom kiadása) úgy manipulálható, hogy valójában azok a fájlok, amelyek káros kódot tartalmaznak, nem jelennek meg. Hasonló tapasztalható a Windows registry, vagy a meglévő hálózati kapcsolatok felsorolása esetén is.

 

A rootkitek műszaki természete egyszerre nyugszik a felismerés és az elhárítás nehézségén. A működő rendszereknél, illetve a bootolt, rootkitekkel fertőzött operációs rendszernél az aktív rootkit felismerése, de különösképpen a leküzdése nehéz, vagy lehetetlen.

 

A G Data biztonsági termékei egy Linux alapú Boot-CD létrehozását biztosítja, és ezzel a számítógép a telepített operációs rendszer mellett is bootolható. A CD-n lévő víruskereső olyan állapotban ellenőrizheti a rendszert, amiben adott esetben a merevlemezen lévő rootkit nem aktív, és így könnyebben felismerhető.