Rootkit kompüter proqramlarının toplusudur, adətən zərərli, kompüterə və ya onun proqram təminatının başqa cür icazə verilməyən sahəsinə (məsələn, icazəsiz istifadəçiyə) girişi təmin etmək üçün nəzərdə tutulmuşdur və çox vaxt onun mövcudluğunu və ya digər proqram təminatının mövcudluğunu gizlədir.[1] Rootkit termini "root"— "kök" (Unix kimi əməliyyat sistemlərində imtiyazlı hesabın ənənəvi adı) və "kit" sözünün (aləti həyata keçirən proqram komponentlərinə aiddir) birləşməsidir.[2] "Rootkit" termini zərərli proqram təminatı ilə əlaqəsi sayəsində mənfi mənalara malikdir.
Rootkit quraşdırılması avtomatlaşdırıla bilər və ya təcavüzkar root və ya administrator girişi əldə etdikdən sonra onu quraşdıra bilər.[3] Bu girişin əldə edilməsi sistemə birbaşa hücumun nəticəsidir, yəni zəiflikdən (məsələn, imtiyazların artırılması) və ya paroldan (krekinq və ya "fişinq" kimi sosial mühəndislik taktikaları ilə əldə edilir) istifadə edilir. Quraşdırıldıqdan sonra müdaxiləni gizlətmək və imtiyazlı girişi saxlamaq mümkün olur. Sistem üzərində tam nəzarət o deməkdir ki, mövcud proqram təminatı dəyişdirilə bilər, o cümlədən onu aşkar etmək və ya onun qarşısını almaq üçün istifadə oluna bilən proqram təminatı.
Rootkit aşkarlanması çətindir, çünki bir rootkit onu tapmaq üçün nəzərdə tutulmuş proqramı alt-üst edə bilər. Aşkarlama metodlarına alternativ və etibarlı əməliyyat sistemindən istifadə, davranışa əsaslanan metodlar, imza skanı, fərqlərin skan edilməsi və yaddaş boşaltma təhlili daxildir. Silinmə mürəkkəb və ya praktiki olaraq qeyri-mümkün ola bilər, xüsusən də rootkitin nüvədə yerləşdiyi hallarda; əməliyyat sisteminin yenidən qurulması problemin yeganə həlli ola bilər. Firmware rootkitləri ilə işləyərkən silinmə aparatın dəyişdirilməsi və ya xüsusi avadanlıq tələb oluna bilər.
Müasir rootkitlər girişi artırmır, əksinə, gizli imkanlar əlavə etməklə başqa bir proqram yükünü aşkar edilə bilməyən etmək üçün istifadə olunur. Əksər rootkitlər zərərli proqram kimi təsnif edilir, çünki onların birləşdiyi faydalı yüklər zərərlidir. Məsələn, faydalı yük istifadəçi parollarını, kredit kartı məlumatlarını, hesablama resurslarını gizli şəkildə oğurlaya bilər və ya digər icazəsiz fəaliyyətlər həyata keçirə bilər. Az sayda rootkit istifadəçiləri tərəfindən kommunal proqramlar hesab edilə bilər: məsələn, bir rootkit CD-ROM-emulyasiya sürücüsünü gizlədə bilər ki, bu da videooyun istifadəçilərinə pirat əleyhinə mübarizəni məğlub etməyə imkan verir. Proqram təminatının qanuni şəkildə satın alındığını yoxlamaq üçün orijinal quraşdırma mediasının fiziki optik sürücüyə daxil edilməsini tələb edən tədbirlər.
Rootkitlərin və onların faydalı yüklərinin bir çox istifadəsi var:
Rootkitlər sistem üzərində nəzarəti əldə etmək üçün müxtəlif üsullardan istifadə edir; rootkitin növü hücum vektorunun seçiminə təsir göstərir. Ən çox yayılmış texnika gizli imtiyazların artmasına nail olmaq üçün təhlükəsizlik zəifliklərindən istifadə edir . Başqa bir yanaşma, kompüter istifadəçisini aldadaraq, rootkitin quraşdırma proqramına etibar etmək üçün Trojan atından istifadə etməkdir—bu halda sosial mühəndislik istifadəçini rootkitin faydalı olduğuna inandırır. Ən az imtiyaz prinsipi varsa quraşdırma işi asanlaşdırılırtətbiq edilmir, çünki rootkit o zaman yüksək (inzibatçı səviyyəli) imtiyazları açıq şəkildə tələb etmək məcburiyyətində deyil. Rootkitlərin digər sinifləri yalnız hədəf sistemə fiziki girişi olan şəxs tərəfindən quraşdırıla bilər. Bəzi rootkitlər həmçinin sistemin sahibi və ya sahibi tərəfindən icazə verilmiş kimsə tərəfindən qəsdən quraşdırıla bilər, məsələn, işçilərin monitorinqi məqsədi ilə bu cür təxribatçı üsulları lazımsız edir.[6] Bəzi zərərli rootkit quraşdırmaları paylama üçün tipik olan quraşdırma başına ödəmə (PPI) kompensasiya üsulu ilə kommersiya məqsədli idarə olunur.[7][8]