La notion globale de rootkit regroupe les outils logiciels qui permettent de camoufler des processus et des fichiers et d'éviter ainsi la détection par l'utilisateur ou son logiciel antivirus.

 

La technologie des rootkits ne présente aucune fonction nuisible en elle-même. Elle permet cependant, en tant que camouflage, à d'autres logiciels nuisibles de ne pas être détectés et de fonctionner en arrière-plan, sans que l'utilisateur le sache.

 

Des rootkits sont également présents dans des applications commerciales en apparence inoffensives. L'exemple le plus connu : le XCP mis en place par l'entreprise Sony BMG et présent de manière camouflée sur différents CD de musique, grâce à la technologie des rootkits.

 

Historiquement, le concept derrière les rootkits provient de l'univers Unix, où les versions modifiées de certaines commandes du système contribuent à obtenir les droits d'administration les plus élevés (racines) sur le système, sans laisser de traces.

 

Il existe différentes techniques de mise en application des rootkits, à différents emplacements du système. Les rootkits d'applications encore peu diffusés, ainsi que les rookits d'applications, de noyaux et Userland courants.

 

Le seul point commun réside dans l'objectif premier de l'utilisation, à savoir la dissimulation de certains fichiers, de certaines connexions réseau ou de certains processus. L'exécution de la commande MS DOS "dir" (édition du contenu des répertoires) peut être manipulée de manière à ce que les fichiers présents de facto qui incluent un code nuisible ne soient pas affichés. Il est possible de faire la même chose lors de l'affichage du registre Windows ou lorsque les connexions réseau existantes sont répertoriées.

 

La nature technique des rootkits inclut à la fois la difficulté à les détecter et la difficulté à les supprimer. Dans la pratique courante, c'est-à-dire dans le cas de systèmes d'exploitation attaqués par des rootkits, la détection et notamment la suppression d'un rootkit actif est difficile, voire même impossible.

 

Les produits de sécurité G DATA offrent la possibilité de créer un CD d'amorçage basé sur Linux grâce auquel l'ordinateur peut être exécuté sans l'aide du système d'exploitation installé. Grâce au scanner de virus inclus sur le CD, le système peut être analysé dans un état tel que, le cas échéant, les rootkits présents sur le disque dur ne sont pas activés et peuvent ainsi être facilement détectés.