Um rootkit é software suspeito não porque ele ataca ou inflige danos a um computador, mas porque incorpora-se profundamente no sistema operacional do computador, tornando-o difícil de detectar. Ela esconde-se em pastas do sistema e sutilmente altera as configurações do Registro para fazê-lo aparecer como um arquivo legítimo. Não faz muito, exceto esconder e esperar por um comando externo a partir de um usuário ou programa para ativá-lo. Atualmente, existem quatro tipos conhecidos de rootkits.
Rootkits persistentes
rootkits persistentes ativar durante a reinicialização. Normalmente, um rootkit persistente esconde no registro de inicialização, que o Windows carrega toda vez que o computador for reiniciado. É difícil de detectar porque imita ações de arquivos de computador válido e executado sem qualquer intervenção do usuário. Vírus e outro software malicioso pode pegar carona em um rootkit persistente, porque, além de ser difícil de encontrar, ele não vai embora quando um computador é desligado.
Rootkits baseados em memória
Ao contrário de rootkits persistentes, um rootkit baseado em memória é desativada quando um computador é reiniciado. rootkits baseados em memória incorporar-se na RAM (memória de acesso aleatório) do computador. A memória RAM é o espaço temporário que programas como o Microsoft Word, Excel, Outlook e navegadores da Web ocupar quando esses programas estão abertos. Quando você abre um programa, o computador aloca um espaço na RAM. Quando você fechar o programa, o computador libera esse espaço de endereço para outros programas para usar. O rootkit baseado em memória faz o mesmo. Ocupa um espaço de endereço na RAM. Quando um computador é desligado, todos os programas estão fechados, o que esvazia os espaços de memória, incluindo o rootkit.
Rootkits em modo de utilizador
Um rootkit de modo de usuário se infiltra no sistema operacional ainda mais profunda. Ele armazena-se em pastas do sistema ocultos e o registro e executa as tarefas feitas por arquivos de sistema válidos. Uma maneira que evita detecção é que ele intercepta o software que poderiam detectá-lo. O rootkit de modo de usuário pode inserir-se em um programa que verifica a existência de vírus. Quando o programa é executado, as interceptações rootkit que a ação como se fosse o único a fazer a varredura. Em vez de o programa retornando uma detecção, ele retorna nada.
Rootkits de modo kernel
Um rootkit em modo kernel é ainda mais perigoso do que um rootkit de modo de usuário. rootkits de modo de usuário interceptar software válido para retornar um resultado diferente, mas eles ainda processos que podem ser detectados executado. Um rootkit em modo kernel se esconde, removendo os processos associados. Isto torna a detecção mais difícil, porque é como se o rootkit em modo kernel não existe. Ele não vai aparecer no Gerenciador de Tarefas ou qualquer outro software que exibe todos os processos em execução no computador. A detecção de rootkits de modo kernel envolve uma técnica sofisticada de encontrar discrepâncias entre o registro do sistema.
Ferramentas de adware removedor
Ferramentas de cavalo de tróia removedor livre