Rootkit是一種特殊類型的malware（惡意軟件）。Rootkit之所以特殊是因為您不知道它們在做什么事情。Rootkit基本上是無法檢測到的，而且?guī)缀醪豢赡軇h除它們。雖然檢測工具在不斷增多，但是惡意軟件的開發(fā)者也在不斷尋找新的途徑來掩蓋他們的蹤跡。

　　Rootkit的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。Rootkit幾乎可以隱藏任何軟件，包括文件服務器、鍵盤記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在您的計算機上保存許多文件，而您無法看到這些文件。

　　Rootkit本身不會像病毒或蠕蟲那樣影響計算機的運行。攻擊者可以找出目標系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括：開放的網(wǎng)絡端口、未打補丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪問權限之后，攻擊者便可手動安裝一個Rootkit。這種類型的偷偷摸摸的攻擊通常不會觸發(fā)自動執(zhí)行的網(wǎng)絡安全控制功能，例如入侵檢測系統(tǒng)。找出Rootkit十分困難。有一些軟件包可以檢測Rootkit。這些軟件包可劃分為以下兩類：基于簽名的檢查程序和基于行為的檢查程序?；诤灻ㄌ卣鞔a）的檢查程序，例如大多數(shù)病毒掃描程序，會檢查二進制文件是否為已知的Rootkit。

　　基于行為的檢查程序試圖通過查找一些代表Rootkit主要行為的隱藏元素來找出Rootkit。一個流行的基于行為的Rootkit檢查程序是RootkitRevealer.在發(fā)現(xiàn)系統(tǒng)中存在Rootkit之后，能夠采取的補救措施也較為有限。由于Rootkit可以將自身隱藏起來，所以您可能無法知道它們已經(jīng)在系統(tǒng)中存在了多長的時間。而且您也不知道Rootkit已經(jīng)對哪些信息造成了損害。對于找出的Rootkit，最好的應對方法便是擦除并重新安裝系統(tǒng)。雖然這種手段很嚴厲，但是這是得到證明的唯一可以徹底刪除Rootkit的方法。

　　防止Rootkit進入您的系統(tǒng)是能夠使用的最佳辦法。為了實現(xiàn)這個目的，可以使用與防范所有攻擊計算機的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括：病毒掃描程序、定期更新軟件、在主機和網(wǎng)絡上安裝防火墻，以及強密碼策略。