रूटकिट

रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है। शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)। रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।

रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है। इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि मौजूदा सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।

रूटकिट का पता लगाना मुश्किल है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और कोर निपात विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, खासकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।

इतिहास
शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के दुर्भावनापूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है। यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था। यह कारनामा एक रूटकिट के बराबर था।

व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन (कंप्यूटर वायरस) ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां इसकी एक प्रति थी। मूल बूट सेक्टर रखा गया था। समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।

विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला दुर्भावनापूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था। इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया। पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया, जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल


2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था। सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की। आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी। स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया। बीबीसी के एक विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा। सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच (कंप्यूटिंग) जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया। कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक वर्ग कार्रवाई | क्लास-एक्शन मुकदमा लाया गया था।

ग्रीक वायरटैपिंग मामला 2004–05
ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है, वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाषों की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच। रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को sysadmin स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी। घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।

उपयोग करता है
आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं, बल्कि चुपके क्षमताओं को जोड़कर एक और सॉफ़्टवेयर पेलोड को ज्ञानी बनाने के लिए उपयोग किया जाता है। अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे दुर्भावनापूर्ण होते हैं। उदाहरण के लिए, एक पेलोड उपयोगकर्ता के पासवर्ड, क्रेडिट कार्ड की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की एक छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, एक रूटकिट सीडी रॉम-इम्यूलेशन ड्राइवर को क्लोक कर सकता है, जिससे वीडियो गेम उपयोगकर्ताओं को प्रतिलिपि सुरक्षा को हराने की अनुमति मिलती है#एंटी-पाइरेसी|एंटी-पाइरेसी उपाय जिनमें प्रविष्टि की आवश्यकता होती है मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में यह सत्यापित करने के लिए कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।

रूटकिट्स और उनके पेलोड के कई उपयोग हैं: कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से जानबूझकर स्थापित किया जा सकता है:
 * एक हमलावर को पिछले दरवाजे (कंप्यूटिंग) के माध्यम से पूर्ण पहुंच प्रदान करें, अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और प्रमाणीकरण। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
 * अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले कीस्ट्रोक लॉगिंग और कंप्यूटर वायरस।
 * अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक ज़ोंबी कंप्यूटर के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े botnet के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, ईमेल स्पैम (इलेक्ट्रॉनिक) वितरित कर सकते हैं। और क्लिक धोखाधड़ी करें।
 * हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट (कंप्यूटिंग) में।
 * एमुलेशन सॉफ्टवेयर और सुरक्षा सॉफ्टवेयर को बेहतर बनाएं। एल्कोहल 120% और डेमोन टूल्स गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग SafeDisc और SecuROM जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है। Kaspersky एंटी-वायरस स्वयं को दुर्भावनापूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के डिवाइस ड्राइवर को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
 * एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।
 * Microsoft उत्पाद सक्रियण को दरकिनार करना

प्रकार
कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर कर्नेल (कंप्यूटर विज्ञान) में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।

उपयोगकर्ता मोड
उपयोक्ता-मोड रूटकिट रिंग (कंप्यूटर सुरक्षा) में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में। एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में गतिशील लिंकर लाइब्रेरी (जैसे डायनेमिक-लिंक लाइब्रेरी|.DLL फ़ाइल विंडोज़ पर, या .dylib फ़ाइल macOS पर) इंजेक्ट करते हैं, और इस तरह इसे स्पूफ करने के लिए किसी भी लक्ष्य प्रक्रिया के अंदर निष्पादित करने में सक्षम होते हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं। इंजेक्शन तंत्र में सम्मलित हैं: *विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, विंडोज़ एक्सप्लोरर में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं। "...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute."
 * संदेश पारित करने का अवरोधन।
 * डिबगर्स।
 * भेद्यता का शोषण (कंप्यूटिंग)।
 * सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।

कर्नेल मोड
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग (कंप्यूटर सुरक्षा)) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं। अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे लिनक्स में मॉड्यूल (लिनक्स) या माइक्रोसॉफ़्ट विंडोज़ में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है। जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है। पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा फ्रैक पत्रिका में जारी किया गया था। कर्नेल रूटकिट्स का पता लगाना और हटाना विशेष रूप से कठिन हो सकता है क्योंकि वे उसी रिंग (कंप्यूटर सुरक्षा) पर ऑपरेटिंग सिस्टम के रूप में काम करते हैं, और इस प्रकार सबसे भरोसेमंद ऑपरेटिंग सिस्टम संचालन को बाधित या उलटने में सक्षम होते हैं। कोई भी सॉफ़्टवेयर, जैसे एंटीवायरस सॉफ्टवेयर, समझौता किए गए सिस्टम पर चल रहा है, समान रूप से असुरक्षित है। ऐसी स्थिति में व्यवस्था के किसी भी अंग पर विश्वास नहीं किया जा सकता।

एक रूटकिट डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (डीकेओएम) नामक विधि का उपयोग करके विंडोज कर्नेल में डेटा संरचनाओं को संशोधित कर सकता है। इस विधि का उपयोग प्रक्रियाओं को छिपाने के लिए किया जा सकता है। कर्नेल मोड रूटकिट सिस्टम सर्विस डिस्क्रिप्टर टेबल (एसएसडीटी) को भी हुक कर सकता है, या स्वयं को छिपाने के लिए उपयोगकर्ता मोड और कर्नेल मोड के बीच गेट्स को संशोधित कर सकता है। इसी प्रकार लिनक्स ऑपरेटिंग सिस्टम के लिए, रूटकिट कर्नेल कार्यक्षमता को हटाने के लिए सिस्टम कॉल टेबल को संशोधित कर सकता है। यह सामान्य है कि एक रूटकिट एक छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है। ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।

बूटकिट्स
कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, मास्टर बूट दस्तावेज़ (एमबीआर), वॉल्यूम बूट रिकॉर्ड (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह पूर्ण डिस्क एन्क्रिप्शन सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है। डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था। बूटकिट उनके नियंत्रण में वैध बूटिंग को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है। उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए एक समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है। 2010 में, एल्यूरॉन रूटकिट ने मास्टर बूट दस्तावेज़ को संशोधित करके विंडोज 7 में 64-बिट कर्नेल-मोड ड्राइवर साइन इन करने की आवश्यकता को सफलतापूर्वक हटा दिया है। यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। Microsoft उत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का। हमले के इस वेक्टर को विंडोज 8 के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है। कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।

सूत्र स्तर
अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। इंटेल वी.टी या एएमडी-वी जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को एक आभासी मशीन के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है। सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं। एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है। Microsoft और मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित SubVirt प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है, जबकि ब्लू पिल (सॉफ्टवेयर) सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और उत्तरी कैरोलिना स्टेट यूनिवर्सिटी के शोधकर्ताओं ने हुकसेफ नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है। विंडोज 10 ने डिवाइस गार्ड नामक एक नई सुविधा पेश की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।

फर्मवेयर और हार्डवेयर
एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे राउटर (कंप्यूटिंग), नेटवर्क इंटरफ़ेस नियंत्रक, हार्ड डिस्क ड्राइव, या सिस्टम BIOS। रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि कोड अखंडता के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया और एक पारंपरिक पीसीआई विस्तार कार्ड में रीड रीड ऑनली मैमोरी अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से क्रेडिट कार्ड के विवरण को इंटरसेप्ट किया और प्रसारित किया। मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और अनिबल सैको ने एक BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।  कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट कंप्यूट्रेस या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-लैपटॉप चोरी प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे दुर्भावनापूर्ण उद्देश्यों में बदल दिया जा सकता है।

Intel सक्रिय प्रबंधन प्रौद्योगिकी, Intel vPro #Remote प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को दूरस्थ प्रशासन, दूरस्थ अवसंरचना प्रबंधन, और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के रिमोट डेस्कटॉप सॉफ्टवेयर देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के चिपसेट में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।

स्थापना और क्लोकिंग
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक ट्रोजन हॉर्स (कंप्यूटिंग) का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट फायदेमंद है। यदि कम से कम विशेषाधिकार का सिद्धांत लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट जानबूझकर सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। कर्मचारी निगरानी के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना। वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (PPI) मुआवजा पद्धति के साथ कुछ दुर्भावनापूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं। एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम कंप्यूटर सुरक्षा उपकरण और अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है। रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या लोड करने योग्य कर्नेल मॉड्यूल के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है। किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की इवेंट लोगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं। संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें बहुरूपी कोड सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना मुश्किल हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना, और आभासी मशीनों पर स्थापित नहीं करना जहाँ शोधकर्ताओं के लिए उन्हें खोजना और उनका विश्लेषण करना आसान हो सकता है।

जांच
रूटकिट डिटेक्शन के साथ मूलभूत समस्या यह है कि यदि ऑपरेटिंग सिस्टम को विकृत कर दिया गया है, विशेष रूप से कर्नेल-स्तरीय रूटकिट द्वारा, तो इस पर स्वयं या इसके घटकों में अनधिकृत संशोधन खोजने के लिए भरोसा नहीं किया जा सकता है। चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं। कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है। डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे अंगुली का हस्ताक्षर), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं। या नेटवर्क ट्रैफ़िक)।

कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है, साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की फोरेंसिक स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू सम्मलित हैं, chkrootkit, rkhunter और OSSEC। विंडोज के लिए, डिटेक्शन टूल में Microsoft Sysinternals RootkitRevealer सम्मलित है, अवास्ट सॉफ्टवेयर, सोफोस एंटी-रूटकिट, च-सुरक्षित, मूलांक, जीएमईआर, और विंडोज़स्कोप। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं। संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।

वैकल्पिक विश्वसनीय माध्यम
ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या यूएसबी फ्लैश ड्राइव) से बूट करके इसके कंप्यूटर डेटा भंडारण की जांच करना है। ). तकनीक प्रभावी है क्योंकि रूटकिट सक्रिय रूप से अपनी उपस्थिति को छुपा नहीं सकता है यदि यह नहीं चल रहा है।

व्यवहार-आधारित
रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की रूपरेखा (कंप्यूटर प्रोग्रामिंग) द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन पेश कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद एल्यूरॉन रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया। एक पैकेट विश्लेषक, फ़ायरवॉल (कंप्यूटिंग), या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।

हस्ताक्षर-आधारित
एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है। यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।

अंतर-आधारित
एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना एपीआई द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना ऑपरेटिंग मेमोरी के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या फाइल सिस्टम या विंडोज रजिस्ट्री एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए - चूंकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या शिम (कम्प्यूटिंग) द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए रसिनोविच के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।

अखंडता जांच
कोड हस्ताक्षर सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है। चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या सर्विस पैक स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।

अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है। कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।

मेमोरी डंप
अप्रत्यक्ष स्मृति के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी डंप फ़ाइल के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है। —एक हार्डवेयर डिवाइस, जैसे कि एक गैर-नकाबपोश व्यवधान को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है। वर्चुअल मशीनें अंतर्निहित हाइपरविजर से एक समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।

हटाना
एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद मुश्किल होता है, परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में।, Microsoft का मासिक Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है। साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है। कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।    ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है। ऐसा इसलिए है क्योंकि एक अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से एक वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से एक संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, एक फोरेंसिक परीक्षा की जा सकती है। इस उद्देश्य के लिए विंडोज पीई, रिकवरी कंसोल, विंडोज रिकवरी पर्यावरण, बार्टपीई, या लाइव सीडी जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।

बचाव
सिस्टम सख्त (कंप्यूटिंग) रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए। सुरक्षा पैच लागू करना, कम से कम विशेषाधिकार के सिद्धांत को लागू करना, हमले की सतह को कम करना और एंटीवायरस सॉफ़्टवेयर स्थापित करना कुछ मानक सुरक्षा सर्वोत्तम अभ्यास हैं जो मैलवेयर के सभी वर्गों के विरुद्ध प्रभावी हैं। यूईएफआई जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है। सर्वर सिस्टम के लिए, इंटेल विश्वसनीय निष्पादन प्रौद्योगिकी (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, Microsoft Bitlocker का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। PrivateCore vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।

यह भी देखें

 * कंप्यूटर सुरक्षा सम्मेलन
 * मेजबान आधारित घुसपैठ का पता लगाने प्रणाली
 * मैन-इन-द-बीच हमला
 * द रूटकिट आर्सेनल: सिस्टम के डार्क कॉर्नर में पलायन और चोरी

इस पेज में लापता आंतरिक लिंक की सूची

 * UNIX- जैसे
 * कार्यकारी प्रबंधक
 * मस्तिष्क (कंप्यूटर वायरस)
 * निजी कंप्यूटर
 * से
 * हुकिंग
 * आईईईई स्पेक्ट्रम
 * वोडाफोन ग्रीस
 * चित्रमय पहचान और प्रमाणीकरण
 * प्राधिकार
 * सर्विस अटैक से इनकार
 * धोखाधड़ी पर क्लिक करें
 * हनीपोट (कम्प्यूटिंग)
 * कास्परस्की एंटी-वायरस
 * संदेश देना
 * भेद्यता (कंप्यूटिंग)
 * डीबगर
 * दुष्ट नौकरानी हमला
 * सुरक्षित प्रकार
 * उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस
 * सेंट्रल प्रोसेसिंग यूनिट
 * मिशिगन यूनिवर्सिटी
 * लैपटॉप के लिए लोजैक
 * आउट-ऑफ-बैंड प्रबंधन
 * इंटेल सक्रिय प्रबंधन प्रौद्योगिकी
 * अचूक अपराध
 * टाइप I और टाइप II त्रुटियां
 * अनाधिकृत प्रवेश निरोधक प्रणाली
 * बाइनरी
 * सार्वजनिक मुख्य बुनियादी सुविधा
 * सोर्स कोड
 * डिबग प्रतीक
 * फोरेंसिक विश्लेषण
 * विंडोज दुर्भावनापूर्ण सॉफ़्टवेयर रिमूवल टूल
 * होस्ट-आधारित घुसपैठ का पता लगाने वाली प्रणाली