Un rootkit est un logiciel suspect non pas parce qu'elle attaque ou inflige des dommages à un ordinateur, mais parce qu'il se enfonce profondément dans le système d'exploitation de l'ordinateur, ce qui rend difficile à détecter. Il se cache dans les dossiers système et modifie subtilement les paramètres de registre pour le faire apparaître comme un fichier légitime. Il ne fait pas beaucoup, sauf cacher et d'attendre une commande externe d'un utilisateur ou d'un programme pour l'activer. Il existe actuellement quatre types connus de rootkits.
Rootkits persistants
Rootkits persistants activer pendant le redémarrage. Généralement, un rootkit persistant se cache dans le registre de démarrage, qui Windows charge chaque fois que l'ordinateur redémarre. Il est difficile à détecter car il imite les actions de fichiers informatiques valides et il exécute sans aucune intervention de l'utilisateur. Les virus et autres logiciels malveillants peuvent se greffer sur un rootkit persistant, car, en plus d'être difficile à trouver, il ne disparaît pas quand un arrêt de l'ordinateur.
Les rootkits basés sur la mémoire
Contrairement rootkits persistants, un rootkit basé sur la mémoire est désactivé lorsque l'ordinateur redémarre. Rootkits basés sur la mémoire se incrustent dans la RAM (mémoire à accès aléatoire) de l'ordinateur. La RAM est l'espace temporaire que des programmes comme Microsoft Word, Excel, Outlook et les navigateurs Web occupent lorsque ces programmes sont ouverts. Lorsque vous ouvrez un programme, l'ordinateur alloue un espace dans la mémoire RAM. Lorsque vous fermez le programme, l'ordinateur libère cet espace d'adressage pour les autres programmes à utiliser. Le rootkit basé sur la mémoire fait la même chose. Il occupe un espace d'adresse dans la RAM. Quand un arrêt de l'ordinateur, tous les programmes sont fermés, ce qui vide les espaces de mémoire, y compris le rootkit.
Les rootkits en mode utilisateur
Un rootkit en mode utilisateur infiltre le système d'exploitation encore plus profonde. Elle se stocke dans les dossiers système cachés et la base de registre et exécute les tâches effectuées par les fichiers système valides. Une façon qu'elle échappe à la détection est qu'il intercepte le logiciel qui, autrement, pourraient détecter. Le rootkit en mode utilisateur peut lui-même intégré sur un programme qui scanne les virus. Lorsque le programme est exécuté, les interceptions de rootkit que l'action comme si elle est la seule à faire le balayage. Au lieu de retourner le programme de détection, il renvoie rien.
Les rootkits en mode noyau
Un rootkit en mode noyau est encore plus dangereux qu'un rootkit en mode utilisateur. Rootkits en mode utilisateur d'intercepter un logiciel valide pour revenir à un résultat différent, mais ils ont encore exécuter des processus qui peuvent être détectés. Un rootkit en mode noyau se cache en supprimant les processus qui lui sont associés. Cela rend la détection plus difficile, car il est comme si ne existe pas le rootkit en mode noyau. Il ne sera pas affiché dans le Gestionnaire des tâches ou tout autre logiciel qui affiche tous les processus en cours d'exécution sur l'ordinateur. Détection des rootkits en mode noyau implique une technique sophistiquée de trouver des divergences entre le registre du système.