定义

Rootkit是一种特殊的恶意软件它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见的是Rootkit一般都和木马、后门等其他恶意程序结合使用的。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

原理

Rootkit是攻击者用来隐藏自己的追踪和保留Root访问权限的工具。通常，攻击者通过远程攻击获得Root访问全程，或者通过密码猜测来强制破译的方法获得系统的访问权限。进入系统后，如果他还没有获得Root权限，再通过某些安全漏洞获得系统的Root权限。接着，攻击者会在入侵的主机中安装Rootkit，然后他将经常通过Rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就会开始手清理日记中的信息。通过Rootkit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息入侵其他的系统。

案例

2005年末，计算机专家马克.拉希诺维奇（MaRussinoich）发现索尼BMG在音乐CD上使用了Rootkit程序以防止盗版。这个软件会自动隐藏在电脑中，不为电脑用户所察觉，并且不能通过普通途径来卸载。索尼没有预先警告用户该软件的存在或者可能带来安全风险的行为引起了用户的极大不满。1月11日，索尼被迫宣布，将暂停在CD唱片上使用这种反盗版技术，并召回470万张附带该程序的音乐CD，而其中210万张已经被买到消费者手中。