rootkit是一组软件工具，当安装在计算机上时，可以在所有者不知情的情况下远程访问资源、文件和系统信息。执法部门和家长的“保姆计划”利用各种类型的rootkit秘密监视计算机上的活动，以进行监视，但恶意黑客也可以在毫无戒备的受害者的计算机上安装rootkit。

“rootkit”一词来自UNIX™ 在Microsoft之前流行的操作系统（OS）™ 窗户™. Linux和Berkeley软件分发（BSD）是UNIX的衍生产品。UNIX系统的“根”级别类似于Windows的管理员权限。远程控制软件包被称为“kit”，这给了我们“rootkit”，有时写为“root kit”

自20世纪90年代初以来，rootkit一直在引起轰动。攻击Windows的rootkit类型™ 机器将自己嵌入操作系统的内核中。从这里，rootkit可以修改操作系统本身并截获对系统的调用（系统请求信息），提供错误的答案来掩盖rootkit的存在。由于rootkit对操作系统和系统日志隐藏其进程，因此很难检测到。

恶意黑客可以通过各种方式将rootkit安装到计算机上。rootkit可以在特洛伊木马中交付，甚至可以隐藏在看似良性的文件中。这可能是通过电子邮件分发的图形或愚蠢的程序。受害者无法通过点击图形或程序知道是否将安装rootkit。rootkit也可以通过网上冲浪来安装。例如，弹出窗口可能会声明，正确查看站点需要一个程序，将rootkit伪装成合法的插件。

一旦安装了rootkit，黑客就可以在目标计算机在线时与目标计算机秘密通信。rootkit通常用于安装更多隐藏程序，并为系统创建“后门”。如果黑客需要信息，可以安装键盘记录程序。该程序将秘密记录所有受害者类型，在线和离线，并在下一次机会将结果发送给入侵者。键盘记录程序可以显示用户名、密码、信用卡号码、银行账号和其他敏感数据，从而使受害者面临潜在的欺诈或身份盗窃。

rootkit的其他恶意使用包括破坏数百台甚至数十万台计算机，形成一个称为僵尸网络的远程“rootkit网络”。僵尸网络用于向其他计算机发送分布式拒绝服务（DDoS）攻击、垃圾邮件、病毒和特洛伊木马。如果追溯到发送者，这一活动可能导致从无辜所有者那里合法扣押计算机，而这些所有者根本不知道他们的计算机被用于非法目的。

为了帮助防范rootkit，专家建议安全软件应保持最新，包括反病毒和反间谍软件。在可用时安装修补程序（操作系统安全修补程序），并在不打开垃圾邮件的情况下删除垃圾邮件。在网上冲浪时，只允许受信任的站点安装软件，并避免点击未知的横幅或弹出窗口。即使是一个“不谢谢”按钮也可能是下载rootkit的一种策略。

明智的做法是每周使用一个或多个反rootkit软件程序扫描rootkit，然后备份系统。尽管一些rootkit据称可以安全地删除，但一般建议是重新格式化驱动器并重建系统，以确保整个rootkit及其所有进程都已删除。如果出现这种情况，最近一次干净的备份将使这项工作更容易。