Un rootkit es una colección de software informático, típicamente malicioso, diseñado para permitir el acceso a una computadora o un área de su software que de otra manera no está permitida (por ejemplo, a un usuario no autorizado) y que a menudo oculta su existencia o la existencia de otro software . El término rootkit es una concatenación de «root» (el nombre tradicional de la cuenta privilegiada en sistemas operativos tipo Unix) y la palabra «kit» (que se refiere a los componentes de software que implementan la herramienta). El término «rootkit» tiene connotaciones negativas a través de su asociación con malware.
La instalación de Rootkit puede automatizarse, o un atacante puede instalarla después de haber obtenido acceso de administrador o root. La obtención de este acceso es el resultado de un ataque directo a un sistema, es decir, explotar una vulnerabilidad conocida (como la escalada de privilegios) o una contraseña (obtenida mediante el craqueo o tácticas de ingeniería social como «phishing»). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. La clave es el acceso root o administrador. El control total sobre un sistema significa que el software existente puede modificarse, incluido el software que de otro modo podría usarse para detectarlo o eludirlo.
La detección de rootkits es difícil porque un rootkit puede subvertir el software que está destinado a encontrarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable, métodos basados en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcado de memoria. La eliminación puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; La reinstalación del sistema operativo puede ser la única solución disponible para el problema. Cuando se trata de rootkits de firmware, la eliminación puede requerir el reemplazo de hardware o un equipo especializado.