Rootkit (руткит) (от англ. root – корень и kit – комплект, набор инструментов) – буквально означает «набор инструментов для root'а». Руткит является программой (набором программ) и используется для маскировки присутствия себя и/или другой вредоносной программы в системе.

Rootkit содержит в себе несколько программ, выполняющих разные функции и обычно замещающих стандартные системные файлы, модули и программы. Это позволяет злоумышленнику скрыть от пользователя и системы присутствие вредоносного кода.

В операционной системе Windows есть встроенная защита от изменения системных файлов и поэтому их изменение затруднено (хотя и возможно!), поэтому руткиты для Windows в основном загружаются в память и перехватывают вызовы системных функций (Windows API) как на уровне пользователя, так и на уровне ядра Windows. Таким образом они скрывают своё присутствие и могут изменять системные структуры данных. Руткиты для Windows ещё называют стелс-вирусами (от англ. stealth – скрытый).

Также существуют руткиты, прописывающие код в Главную Загрузочную Запись (MBR) диска и запускающие себя ещё до загрузки операционной системы. Их называют буткиты (Bootkit).

В UNIX-системах руткиты могут подменять основные системные утилиты и модули ядра, а также перехватывать системные вызовы и изменять ядро в физической памяти.

Что такое Bootkit