Rootkit, bir bilgisayara veya yazılımının başka bir şekilde izin verilmeyen (örneğin, yetkisiz bir kullanıcıya) alanına erişim sağlamak için tasarlanmış ve genellikle varlığını veya diğer yazılımların varlığını maskeleyen, genellikle kötü amaçlı olan bir bilgisayar yazılımı bütünüdür. Kök kullanıcı takımı terimi, “kök” (Unix benzeri işletim sistemlerinde ayrıcalıklı hesabın geleneksel adı) ve “kit” (aracını uygulayan yazılım bileşenlerini ifade eden) kelimesinin birleşimidir. “Rootkit” terimi, kötü amaçlı yazılımlarla olan ilişkisi nedeniyle olumsuz çağrışımlara sahiptir.

Rootkit kurulumu otomatikleştirilebilir veya bir saldırgan root veya yönetici erişimi elde ettikten sonra kurabilir. Bu erişimin elde edilmesi, bir sisteme doğrudan saldırının bir sonucudur, yani bilinen bir güvenlik açığından (ayrıcalık yükseltme gibi) veya bir paroladan (“kimlik avı” gibi sosyal mühendislik taktikleri veya kırma yoluyla elde edilir) yararlanmanın bir sonucudur. Kurulduktan sonra, izinsiz girişi gizlemek ve ayrıcalıklı erişimi korumak mümkün hale gelir. Bir sistem üzerinde tam kontrol, mevcut yazılımın, aksi takdirde onu tespit etmek veya atlatmak için kullanılabilecek yazılımlar da dahil olmak üzere değiştirilebileceği anlamına gelir.

Rootkit algılaması zordur çünkü bir rootkit onu bulması amaçlanan yazılımı bozabilir. Algılama yöntemleri, alternatif ve güvenilir bir işletim sistemi kullanmayı, davranışa dayalı yöntemleri, imza taramayı, fark taramayı ve bellek dökümü analizini içerir. Kaldırma işlemi, özellikle kök kullanıcı setinin çekirdekte bulunduğu durumlarda karmaşık veya pratik olarak imkansız olabilir; işletim sisteminin yeniden yüklenmesi, sorunun tek çözümü olabilir. Firmware rootkit‘leri ile uğraşırken, kaldırma işlemi donanımın değiştirilmesini veya özel ekipman gerektirebilir.

Alıntıdır.