Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。

在懸念迭起的中外諜戰(zhàn)片里，對戰(zhàn)雙方中的一派勢力通常會派遣特工人員潛伏到對手陣營中。這名臥底人員良好的偽裝使得對手對此長時間毫無察覺；為了能夠長期潛伏他不貿(mào)然采取高風險行為以免過早暴露自己；他贏得敵人的信任并因此身居要職，這使得他能夠源源不斷地獲取重要情報并利用其獨特渠道傳送回去。

從某種意義上說這位不速之客就是Rootkit——持久并毫無察覺地駐留在目標計算機中，對系統(tǒng)進行操縱、并通過隱秘渠道收集數(shù)據(jù)的程序。Rootkit的三要素就是：隱藏、操縱、收集數(shù)據(jù)。

“Rootkit”中root術(shù)語來自于unix領(lǐng)域。由于unix主機系統(tǒng)管理員賬號為root賬號，該賬號擁有最小的安全限制，完全控制主機并擁有了管理員權(quán)限被稱為“root”了這臺電腦。然而能夠“root”一臺主機并不意味著能持續(xù)地控制它，因為管理員完全可能發(fā)現(xiàn)了主機遭受入侵并采取清理措施。因此Rootkit的初始含義就在于“能維持root權(quán)限的一套工具”。

簡單地說，Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進而達到隱藏信息的目的。

rootkit并不一定是用作獲得系統(tǒng)root訪問權(quán)限的工具。實際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常，攻擊者通過遠程攻擊獲得root訪問權(quán)限，或者首先密碼猜測或者密碼強制破譯的方式獲得系統(tǒng)的訪問權(quán)限。進入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會在侵入的主機中安裝rootkit，然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息。通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其它的系統(tǒng)。