Освен да дават достъп на хакера като root (супер потребител), тези набори се грижат за укриване на собственото си съществуване и действия.
Към руткита влизат и останалите хакерски програми, работещи на превзетият компютър - снифъри, скенери, троянци. Обикновено изпълнението на такива програми на чуждия комютър е целта на превземането.Добре работещият руткит може да бъде неоткриваем. Той не оставя следи по логовете. Показва фалшифицирани конфигурационни файлове и/или ключове в регистратурата, от които не личи неговото стартиране. Показва фалшиви данни за работещите процеси и натоварването на процесора. Не дава да се видят, променят или трият неговите файлове. Накратко: работещият на този компютър вижда не истинското положение, а това, което му показва руткитът!
За работещ руткит може да възникне съмнение само по усет -„тази система не е натоварена, а бавно работи“ или по логове на мрежовата му активност, правени не на този компютър, защото руткитът и тях ще покаже фалшифицирани.Руткита се качва без знанието на потребителя, ако той ползува функцията AUTORUN еханизми и техники, чрез които зловредни програми, вкл. компютърни вируси, шпиони и троянски коне, се опитват да се скрият от антивирусни програми и други приложения за сигурност на Windows. Класифицирани са някои основни видове:
1. Устойчиви Rootkits - Устойчивият rootkit е такава зловредна програма, която се активира при всяко рестартиране на компютъра. Тези програми съдържат код, който се съхранява в регистъра или файловата система и се стартира без потребителска намеса
2. Зависещи от паметта Rootkits - Зависещите от паметта rootkits са зловредни програми, които нямат устойчив код и са записани единствено в паметта. Поради тази причина те не оцеляват при рестартиране на операционната система.
3. User-mode Rootkits - Има много методи, чрез които rootkits се опитват да останат незабелязани. Когато дадено приложение (например Windows Explorer) изведе списък със съдържанието на една директория, user-mode rootkit програмата ще прекъсне и модифицира изходните данни, за да премахне следите от присъствието си, които иначе биха били открити лесно.
4. Kernel-mode Rootkits - Kernel-mode rootkits са много опасни, защото работят на едно ниво с операционната система и по този начин могат да манипулират информацията, която тя извежда. Това прави тяхното откриване много трудно. Обикновено се налага сканиране на хард диска от друга операционна система или неговото форматиране. Често използван метод за прикриване на присъствието на един процес е като бъде изтрит от списъка със заредените в ядрото на операционната системата процеси. Така той ще бъде невидим за програми като Task Manager или Process Explorer.
Някои препоръки:
1. Потърсете антивирусен софтуер, който предлага защита срещу рууткитове.
2. Използвайте рууткит детектор, като този на Sysinternals – RootkitRevealer или Blacklight на F-Secure
3. Внимавайте какви сайтове посещавате. Какви програми теглете. Най добрата защита е превантивна.