Ett rootkit är misstänkta program inte eftersom den angriper eller tillfogar skadestånd till en dator , men eftersom det bäddar in sig djupt i datorns operativsystem , vilket gör det svårt att upptäcka . Den gömmer sig i system mappar och subtilt ändrar register inställningar för att få det att verka som en legitim fil . Det gör inte mycket förutom dölja och vänta på ett externt kommando från en användare eller program för att aktivera den . Det finns för närvarande fyra kända typer av rootkits . Ihållande Rootkits
Ihållande rootkits aktiveras under omstarten . Typiskt , en ihållande rootkit döljer i start registret , som Windows laddar varje gång datorn startas . Det är svårt att upptäcka eftersom det härmar åtgärder giltiga datafiler och det körs utan några åtgärder . Virus och annan skadlig programvara kan kombitrafik på en ihållande rootkit eftersom , bortsett från att vara svåra att hitta , betyder inte att försvinna när en dator stängs av .
Minne - baserade Rootkit
skillnad ihållande rootkits , är ett minne - baserade rootkit avaktiveras när en dator startas . Minne - baserade rootkits bädda sig i datorns RAM ( random - access memory ) . RAM är det tillfälligt utrymme att program som Microsoft Word , Excel , Outlook och webbläsare upptar när dessa program är öppna . När du öppnar ett program , tilldelar datorn ett utrymme i RAM . När du stänger programmet , släpper den dator som adress utrymme för andra program att använda . Minnet -baserade rootkit gör likadant. Det upptar en adress utrymme i RAM . När en dator stängs av , är alla program stängda , tömmer vilka minnesplatser , inklusive rootkit .
User- mode Rootkit
user -mode rootkit infiltrerar operativsystemet ännu djupare. Den lagrar sig i dolda system mappar och registret och de uppgifter utförs av giltiga systemfiler . Ett sätt kringgår upptäckt är att det fångar upp den programvara som annars skulle kunna upptäcka det . Användaren - mode rootkit kan bädda in sig på ett program som skannar efter virus . När programmet körs , rootkit fångar som åtgärder som om det är den som gör skanning . Istället för programmet återvänder en upptäckt , återgår det ingenting .
Kernelläge Rootkit
En kernel - läge rootkit är ännu farligare än en user-mode rootkit . User- mode rootkit avlyssna giltigt programvara för att returnera ett annat resultat , men att de fortfarande kör processer som kan detekteras . En kernel - läge rootkit döljer sig genom att ta bort de processer som är förknippade med det . Detta gör upptäckten svårare , eftersom det är som om kernel-läge rootkit inte existerar . Det kommer inte att dyka upp i Aktivitetshanteraren eller någon annan programvara som visar alla processer som körs på datorn . Upptäckt av kernel - läge rootkit innebär en sofistikerad teknik för att hitta skillnader mellan systemregistret .
