Un rootkit es un software sospechoso no porque ataca o que resulte en daños a un ordenador, pero debido a que se incrusta profundamente en el sistema operativo del ordenador, por lo que es difícil de detectar. Se esconde en las carpetas del sistema y sutilmente cambia la configuración del Registro para que aparezca como un archivo legítimo . No hace mucho, excepto esconderse y esperar a que un comando externo de un usuario o un programa para activarlo. Actualmente hay cuatro tipos conocidos de rootkits. Los rootkits persistentes
rootkits persistentes activan durante el reinicio . Normalmente, un rootkit se esconde persistentes en el registro de arranque , que Windows se carga cada vez que se reinicia el equipo . Es difícil de detectar debido a que imita las acciones de archivos de computadora válidos y se ejecuta sin intervención del usuario . Los virus y otros programas maliciosos pueden llevar a cuestas en un rootkit persistente porque, además de ser difícil de encontrar, que no desaparece cuando el equipo se apaga .
Basado en memoria Rootkits
< br >
diferencia de rootkits persistentes , un rootkit basado en memoria se desactiva cuando un equipo se reinicia . Rootkits memoria basados incrustan en la memoria RAM del ordenador (memoria de acceso aleatorio ) . La memoria RAM es el espacio temporal que programas como Microsoft Word, Excel , Outlook y los navegadores Web ocupan cuando esos programas están abiertos . Cuando se abre un programa , el ordenador asigna un espacio en la memoria RAM. Al cerrar el programa, el equipo libera ese espacio de direcciones de otros programas para usar . El rootkit basado en memoria hace lo mismo. Ocupa un espacio de direcciones en la RAM . Cuando un equipo se apaga , todos los programas están cerrados, que vacía el espacio de memoria , incluyendo el rootkit .
Rootkits de modo usuario
A modo de usuario infiltrados rootkit del sistema operativo aún más profundas . Almacena sí en carpetas ocultos del sistema y el registro y realiza las tareas realizadas por los archivos del sistema válidos. Una manera evade la detección es que se anticipa al software que de otra manera podría detectarlo. El rootkit de modo de usuario puede incrustarse en un programa que escanea en busca de virus . Cuando el programa se ejecuta , las intersecciones de rootkit que la acción como si fuera el que hace la exploración . En lugar del programa de devolución de una detección, no devuelve nada .
Rootkits en modo kernel
Un rootkit en modo kernel es aún más peligroso que un rootkit en modo de usuario . Rootkits de modo usuario interceptan software válida para devolver un resultado diferente , pero todavía se ejecutan los procesos que se pueden detectar . Un rootkit en modo kernel se oculta mediante la eliminación de los procesos asociados. Esto hace más difícil de detectar , porque es como si el rootkit de modo de núcleo no existe. No se mostrará en el Administrador de tareas o cualquier otro software que muestra todos los procesos que se ejecutan en el ordenador. La detección de rootkits en modo kernel implica una sofisticada técnica de encontrar discrepancias entre el registro del sistema .