Um rootkit é um software suspeito não porque ele ataca ou inflige danos a um computador, mas porque incorpora-se profundamente no sistema operacional do computador , tornando-o difícil de detectar. Ele se esconde em pastas do sistema e sutilmente muda as configurações do registro para fazer parecer como um arquivo legítimo . Não faz muito, exceto esconder e esperar por um comando externo de um usuário ou programa para ativá-lo. Atualmente, existem quatro tipos conhecidos de rootkits. Rootkits persistentes

rootkits persistentes ativar durante a reinicialização . Normalmente, um rootkit persistente esconde no registro de inicialização, que carrega o Windows cada vez que o computador é reiniciado. É difícil de detectar porque imita ações de arquivos de computador válidos e ele executa sem qualquer intervenção do usuário. Os vírus e outros softwares maliciosos podem pegar carona em um rootkit persistente porque , além de ser difícil de encontrar , ele não vai embora quando um computador é desligado .
Rootkits baseados em memória
< br > Ao contrário

rootkits persistentes , um rootkit baseado em memória é desativada quando um computador é reiniciado. Rootkits baseados em memória encaixam-se na memória RAM do computador (memória de acesso aleatório). A memória RAM é o espaço temporário que programas como o Microsoft Word, Excel, Outlook e navegadores da Web ocupar quando esses programas estão abertos . Quando você abre um programa , o computador aloca um espaço na memória RAM. Quando você fechar o programa , o computador libera esse espaço de endereço para outros programas para usar. O rootkit baseado em memória faz o mesmo. Ocupa um espaço de endereço na RAM. Quando um computador é desligado , todos os programas estão fechados , o que esvazia os espaços de memória , incluindo o rootkit .
Rootkits em modo usuário

Um modo de usuário rootkit se infiltra no sistema operacional ainda mais profunda. Ele armazena -se em pastas ocultas do sistema e do registro e executa as tarefas feitas por sistema de arquivos válidos. Uma forma que evita detecção é que ele intercepta o software que poderiam detectá-lo. O rootkit modo de usuário pode inserir -se em um programa que verifica a existência de vírus . Quando o programa é executado, as interceptações rootkit que a ação como se fosse o único a fazer a varredura. Em vez de o programa retornando uma detecção , ele retorna nada .

Kernel -mode Rootkits

Um rootkit em modo kernel é ainda mais perigoso do que um rootkit modo de usuário . Modo usuário rootkits interceptar software válido para retornar um resultado diferente , mas ainda assim os processos que podem ser detectados executado. Um rootkit de modo kernel esconde-se por remoção dos processos associados. Isto torna a detecção mais difícil , porque é como se o rootkit em modo kernel não existe. Ele não vai aparecer no Gerenciador de Tarefas ou qualquer outro software que exibe todos os processos em execução no computador. A detecção de rootkits em modo kernel envolve uma técnica sofisticada de encontrar discrepâncias entre o registro do sistema.