Con il nome collettivo di "rootkit" vengono definiti alcuni strumenti software che permettono di nascondere processi e file e quindi di non essere scoperti dall'utente o dal suo programma antivirus.

 

La tecnologia rootkit non contiene in sé funzioni dannose, tuttavia utilizzando la mimetizzazione fa in modo che altri software nocivi non vengano rilevati e possano essere eseguiti in background ad insaputa dell'utente.

 

I rootkit vengono impiegati anche in innocue applicazioni commerciali eseguite in primo piano. L'esempio più famoso è XCP prodotto da Sony BMG, che resta nascosto su vari CD musicali grazie alla tecnologia rootkit.

 

Il concetto di rootkit nasce in ambiente Unix, in cui le versioni modificate di determinati comandi di sistema servivano per ottenere sul sistema i diritti di amministratore (root) di livello più alto senza lasciare traccia.

 

Esistono varie tecniche per l'implementazione dei rootkit utilizzati in diverse posizioni del sistema, ad esempio, i rootkit di applicazioni, poco diffusi, e i rootkit di comuni applicazioni, kernel o userland.

 

Tutti hanno in comune lo scopo di nascondere determinati file, connessioni di rete o processi. Ad esempio, la visualizzazione del comando DOS "dir" (per visualizzare il contenuto di una directory) può essere manipolata in modo tale da non mostrare affatto i file presenti che contengono codice dannoso. Una tecnica simile è possibile anche con il registro di Windows o con l'elenco delle connessioni di rete esistenti.

 

La natura particolarmente tecnica dei rootkit ne rende difficile l'identificazione e l'eliminazione. Durante il funzionamento di un sistema operativo infettato da rootkit, il rilevamento e in particolare l'eliminazione di un rootkit attivo possono risultare estremamente complessi, se non addirittura impossibili.

 

I prodotti G Data per la protezione permettono di creare un CD di avvio basato su Linux con il quale è possibile avviare il computer in modo separato dal sistema operativo installato. Il programma di scansione antivirus contenuto sul CD è in grado di eseguire la scansione del sistema in uno stato in cui gli eventuali rootkit presenti sul disco rigido non sono attivi e quindi possono essere rilevati più facilmente.