रूटकिट

रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है। अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)। रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।

रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है। इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें  वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।

रूटकिट का पता लगाना कठिन है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और मेमोरी डंप विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।

इतिहास
शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है। यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था। लेन डेविस और स्टीवन डैक ने सन माइक्रोसिस्टम्स के SunOS UNIX ऑपरेटिंग सिस्टम के लिए 1990 में सबसे पहला ज्ञात रूटकिट लिखा था। 1983 में ट्यूरिंग पुरस्कार प्राप्त करने पर दिए गए व्याख्यान में, बेल लैब्स के केन थॉम्पसन, यूनिक्स के रचनाकारों में से एक, ने यूनिक्स वितरण में सी संकलक को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा  आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त पिछले दरवाजे  का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा   कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा। यह कारनामा एक रूटकिट के बराबर था।

व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन वायरस ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की एक प्रति रखी गई थी समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।

विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था। इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया। पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया, जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल


2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था। सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की। आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी। स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया। बीबीसी के एक विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा। सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया। कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक क्लास-एक्शन मुकदमा लगाया था।

ग्रीक वायरटैपिंग मामला 2004–05
ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है, वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाष की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच। रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को sysadmin स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी। घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।

उपयोग
आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं, बल्कि चोरी छुपे क्षमताओं को जोड़कर एक और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है। अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, एक पेलोड उपयोगकर्ता के पासवर्ड, क्रेडिट कार्ड की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की एक छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, एक रूटकिट सीडी रॉम-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को एक भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।

रूटकिट्स और उनके पेलोड के कई उपयोग हैं: कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:
 * एक हमलावर को पिछले दरवाजे के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और प्रमाणीकरण। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
 * अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले कीस्ट्रोक लॉगिंग और कंप्यूटर वायरस।
 * अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक ज़ोंबी कंप्यूटर के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े बॉटनेट्स के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, ईमेल स्पैम वितरित करें, और क्लिक धोखाधड़ी करें।
 * हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।
 * एमुलेशन सॉफ्टवेयर और सुरक्षा सॉफ्टवेयर को बेहतर बनाएं। एल्कोहल 120% और डेमोन टूल्स गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग SafeDisc और SecuROM जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है। कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के डिवाइस ड्राइवर को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
 * एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।
 * माइक्रोसॉफ्ट उत्पाद सक्रियण को दरकिनार करना

प्रकार
रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर कर्नेल में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।

उपयोगकर्ता मोड
उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं। एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में गतिशील लिंकर लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:

विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, विंडोज़ एक्सप्लोरर में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं। सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।
 * संदेश पारित करने का अवरोधन।
 * डिबगर्स।
 * भेद्यता का शोषण ।
 * "... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।"

कर्नेल मोड
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं। अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे लिनक्स में मॉड्यूल (लिनक्स) या माइक्रोसॉफ़्ट विंडोज़ में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है। जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है। पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा फ्रैक पत्रिका में जारी किया गया था। कर्नेल रूटकिट्स का पता लगाना और हटाना विशेष रूप से कठिन हो सकता है क्योंकि वे उसी रिंग (कंप्यूटर सुरक्षा) पर ऑपरेटिंग सिस्टम के रूप में काम करते हैं, और इस प्रकार सबसे भरोसेमंद ऑपरेटिंग सिस्टम संचालन को बाधित या उलटने में सक्षम होते हैं। कोई भी सॉफ़्टवेयर, जैसे एंटीवायरस सॉफ्टवेयर, समझौता किए गए सिस्टम पर चल रहा है, समान रूप से असुरक्षित है। ऐसी स्थिति में व्यवस्था के किसी भी अंग पर विश्वास नहीं किया जा सकता।

एक रूटकिट डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (डीकेओएम) नामक विधि का उपयोग करके विंडोज कर्नेल में डेटा संरचनाओं को संशोधित कर सकता है। इस विधि का उपयोग प्रक्रियाओं को छिपाने के लिए किया जा सकता है। कर्नेल मोड रूटकिट सिस्टम सर्विस डिस्क्रिप्टर टेबल (एसएसडीटी) को भी हुक कर सकता है, या स्वयं को छिपाने के लिए उपयोगकर्ता मोड और कर्नेल मोड के बीच गेट्स को संशोधित कर सकता है। इसी प्रकार लिनक्स ऑपरेटिंग सिस्टम के लिए, रूटकिट कर्नेल कार्यक्षमता को हटाने के लिए सिस्टम कॉल टेबल को संशोधित कर सकता है। यह सामान्य है कि एक रूटकिट एक छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है। ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।

बूटकिट्स
कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, मास्टर बूट दस्तावेज़ (एमबीआर), वॉल्यूम बूट रिकॉर्ड (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह पूर्ण डिस्क एन्क्रिप्शन सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है। डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था। बूटकिट उनके नियंत्रण में वैध बूटिंग को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है। उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए एक समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है। 2010 में, एल्यूरॉन रूटकिट ने मास्टर बूट दस्तावेज़ को संशोधित करके विंडोज 7 में 64-बिट कर्नेल-मोड ड्राइवर साइन इन करने की आवश्यकता को सफलतापूर्वक हटा दिया है। यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। माइक्रोसॉफ्टउत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का। हमले के इस वेक्टर को विंडोज 8 के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है। कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।

सूत्र स्तर
अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। इंटेल वी.टी या एएमडी-वी जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को एक आभासी मशीन के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है। सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं। एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है। माइक्रोसॉफ्टऔर मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित सबवर्ट प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है, जबकि ब्लू पिल सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और उत्तरी कैरोलिना स्टेट यूनिवर्सिटी के शोधकर्ताओं ने हुकसेफ नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है। विंडोज 10 ने डिवाइस गार्ड नामक एक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।

फर्मवेयर और हार्डवेयर
एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे राउटर, नेटवर्क इंटरफ़ेस नियंत्रक, हार्ड डिस्क ड्राइव, या सिस्टम BIOS। रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि कोड अखंडता के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया और एक पारंपरिक पीसीआई विस्तार कार्ड में रीड रीड ऑनली मैमोरी अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से क्रेडिट कार्ड के विवरण को इंटरसेप्ट किया और प्रसारित किया। मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और अनिबल सैको ने एक BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।  कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट कंप्यूट्रेस या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-लैपटॉप चोरी प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।

इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को दूरस्थ प्रशासन, दूरस्थ अवसंरचना प्रबंधन, और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के रिमोट डेस्कटॉप सॉफ्टवेयर देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के चिपसेट में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।

स्थापना और क्लोकिंग
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। एक अन्य दृष्टिकोण एक ट्रोजन हॉर्स  का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है। यदि कम से कम विशेषाधिकार का सिद्धांत लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। कर्मचारी निगरानी के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना। वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) मुआवजा पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।  एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम कंप्यूटर सुरक्षा उपकरण और अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है। रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या लोड करने योग्य कर्नेल मॉड्यूल के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है। किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की इवेंट लॉगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं। संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें बहुरूपी कोड सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना, और आभासी मशीनों पर स्थापित नहीं करना जहाँ शोधकर्ताओं के लिए उन्हें खोजना और उनका विश्लेषण करना आसान हो सकता है।

जांच
रूटकिट डिटेक्शन के साथ मूलभूत समस्या यह है कि यदि ऑपरेटिंग सिस्टम को विकृत कर दिया गया है, विशेष रूप से कर्नेल-स्तरीय रूटकिट द्वारा, तो इस पर स्वयं या इसके घटकों में अनधिकृत संशोधन खोजने के लिए भरोसा नहीं किया जा सकता है। चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं। कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है। डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे अंगुली का हस्ताक्षर), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं या नेटवर्क ट्रैफ़िक)।

कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है, साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की फोरेंसिक स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन जिसमें ज़ेप्पू सम्मलित हैं, chkrootkit, rkhunter और OSSEC। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट Sysinternals रूटकिट रिवीलर सम्मलित है, अवास्ट सॉफ्टवेयर, सोफोस एंटी-रूटकिट, एफ-सुरक्षित, रैडिक्स, जीएमईआर, और विंडोज़स्कोप। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभाविता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं। संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।

वैकल्पिक विश्वसनीय माध्यम
ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या यूएसबी फ्लैश ड्राइव) से बूट करके इसके कंप्यूटर डेटा भंडारण की जांच करना है। तकनीक प्रभावी है क्योंकि रूटकिट सक्रिय रूप से अपनी उपस्थिति को छुपा नहीं सकता है यदि यह नहीं चल रहा है।

व्यवहार-आधारित
रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की रूपरेखा (कंप्यूटर प्रोग्रामिंग) द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन प्रस्तुत कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद एल्यूरॉन रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया। एक पैकेट विश्लेषक, फ़ायरवॉल, या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।

हस्ताक्षर-आधारित
एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है। यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।

अंतर-आधारित
एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना एपीआई द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना ऑपरेटिंग मेमोरी के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या फाइल सिस्टम या विंडोज रजिस्ट्री एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए - चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या शिम द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए रसिनोविच के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।

अखंडता जांच
कोड हस्ताक्षर सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है। चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या सर्विस पैक स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।

अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है। कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।

मेमोरी डंप
अप्रत्यक्ष स्मृति के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी डंप फ़ाइल के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है। —एक हार्डवेयर डिवाइस, जैसे कि एक गैर-नकाबपोश व्यवधान को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है। वर्चुअल मशीनें अंतर्निहित हाइपरविजर से एक समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।

हटाना
एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद कठिन होता है, परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। 2005 तक, माइक्रोसॉफ्टका मासिक विंडोज़ द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है। साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है। कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।    ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है। ऐसा इसलिए है क्योंकि एक अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से एक वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से एक संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, एक फोरेंसिक परीक्षा की जा सकती है। इस उद्देश्य के लिए विंडोज पीई, रिकवरी कंसोल, विंडोज रिकवरी पर्यावरण, बार्टपीई, या लाइव सीडी जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।

बचाव
सिस्टम सख्त रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए। सुरक्षा पैच लागू करना, कम से कम विशेषाधिकार के सिद्धांत को लागू करना, हमले की सतह को कम करना और एंटीवायरस सॉफ़्टवेयर स्थापित करना कुछ मानक सुरक्षा सर्वोत्तम अभ्यास हैं जो मैलवेयर के सभी वर्गों के विरुद्ध प्रभावी हैं। यूईएफआई जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है। सर्वर सिस्टम के लिए, इंटेल विश्वसनीय निष्पादन प्रौद्योगिकी (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट बिटलॉकर  का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। प्राइवेटकोर  vCage एक सॉफ्टवेयर प्रस्तुत है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। प्राइवेटकोर कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।

यह भी देखें

 * कंप्यूटर सुरक्षा सम्मेलन
 * मेजबान आधारित घुसपैठ का पता लगाने प्रणाली
 * मैन-इन-द-बीच हमला
 * द रूटकिट आर्सेनल: सिस्टम के डार्क कॉर्नर में पलायन और चोरी